Une faille baptisée CVE-2025-61757, d’une criticité de 9,8/10, est en cours d’exploitation dans Oracle Identity Manager (OIM). Elle permet à toute personne non authentifiée et disposant d’un accès au réseau de compromettre OIM et de prendre le contrôle complet du système. La vulnérabilité a été découverte par Searchlight Cyber qui précise : « Une seule requête HTTP contourne le flux d’authentification normal de l’OIM et donne à un attaquant le contrôle à distance du système ».
Oracle a publié un correctif pour résoudre le bug le 21 octobre dernier, sans préciser alors qu’il faisait l’objet d’une exploitation active.
Aux Etats-Unis, les agences fédérales disposent de trois semaines, jusqu’au 12 décembre 2025, pour appliquer le correctif, sous peine de représailles de la CISA, l’agence de cybersécurité des infrastructures étasuniennes.
L’année 2025 s’avère compliquée en matière de sécurité pour Oracle, après l’attaque de Cl0p sur les environnements Oracle E-Business Suite.