Las agencias federales de EE.UU. deben parchear un fallo crítico de Oracle Identity Manager para el 12 de diciembre después de que se encontró explotado activamente. U.S. federal agencies must patch a critical Oracle Identity Manager flaw by Dec. 12 after it was found actively exploited.

CISA ha ordenado a las agencias federales de los Estados Unidos que parchen una vulnerabilidad crítica y explotada activamente en Oracle Identity Manager (CVE-2025-61757) antes del 12 de diciembre, agregándola a su catálogo de vulnerabilidades explotadas conocidas. CISA has ordered U.S. federal agencies to patch a critical, actively exploited vulnerability in Oracle Identity Manager (CVE-2025-61757) by December 12, adding it to its Known Exploited Vulnerabilities catalog. La falla, que permite la ejecución remota de código no autenticado a través de una sola solicitud HTTP, se confirmó que estaba bajo ataque activo ya en agosto, y los investigadores calificaron el exploit de "trivial". The flaw, which allows unauthenticated remote code execution via a single HTTP request, was confirmed to be under active attack as early as August, with researchers calling the exploit "trivial." Oracle emitió una corrección el 21 de octubre, pero no divulgó evidencia de explotación en ese momento. Oracle issued a fix on October 21, but did not disclose evidence of exploitation at the time. La vulnerabilidad afecta a versiones específicas de Oracle Fusion Middleware y representa un riesgo grave debido a su alta puntuación CVSS de 9.8. The vulnerability affects specific versions of Oracle Fusion Middleware and poses a severe risk due to its high CVSS score of 9.8. CISA insta a las agencias a aplicar el parche del 21 de octubre o aislar los sistemas afectados de las redes públicas. CISA urges agencies to apply the October 21 patch or isolate affected systems from public networks.