As agências federais dos EUA devem corrigir uma falha crítica do Oracle Identity Manager até 12 de dezembro, após sua descoberta como ativamente explorada. U.S. federal agencies must patch a critical Oracle Identity Manager flaw by Dec. 12 after it was found actively exploited.

A CISA ordenou que as agências federais dos EUA corrigissem uma vulnerabilidade crítica e ativamente explorada no Oracle Identity Manager (CVE-2025-61757) até 12 de dezembro, adicionando-a ao catálogo de Vulnerabilidades Exploradas Conhecidas. CISA has ordered U.S. federal agencies to patch a critical, actively exploited vulnerability in Oracle Identity Manager (CVE-2025-61757) by December 12, adding it to its Known Exploited Vulnerabilities catalog. A falha, que permite a execução remota não autenticada de código através de um único pedido HTTP, foi confirmada como estando sob ataque ativo já em agosto, com pesquisadores chamando a exploração de "trivial". The flaw, which allows unauthenticated remote code execution via a single HTTP request, was confirmed to be under active attack as early as August, with researchers calling the exploit "trivial." A Oracle emitiu uma correção em 21 de outubro, mas não divulgou evidências de exploração na época. Oracle issued a fix on October 21, but did not disclose evidence of exploitation at the time. A vulnerabilidade afeta versões específicas do Oracle Fusion Middleware e representa um risco grave devido à sua alta pontuação CVSS de 9.8. The vulnerability affects specific versions of Oracle Fusion Middleware and poses a severe risk due to its high CVSS score of 9.8. A CISA insta as agências a aplicarem o patch de 21 de outubro ou isolarem os sistemas afetados das redes públicas. CISA urges agencies to apply the October 21 patch or isolate affected systems from public networks.