A CISA figyelmeztetést adott ki, az Oracle Identity Manager-t érintő, CVE-2025-61757 azonosítón nyomon követett aktívan kihasznált, és nagy valószínűséggel nulladik napi sérülékenység kapcsán. A sebezhetőség különösen veszélyes, mivel hitelesítés nélkül (pre-auth) is kihasználható. A sebezhetőséget a Searchlight Cyber kiberbiztonsági kutatói, Adam Kues és Shubham Shah azonosították és hozták nyilvánosságra.
A probléma abból ered, hogy az Oracle Identity Manager REST API-jain a hitelesítési mechanizmus megkerülhető. Bizonyos paramétereket (például ?WSDL vagy ;.wadl) hozzáfűzve az URL végéhez, a rendszer nyilvánosnak tekintheti a védett endpoint-okat. Amennyiben a támadók sikeresen kihasználják ezt a megkerülési lehetőséget, elérhetnek egy Groovy script compilation végpontot. Bár ez a végpont normál esetben nem futtat szkripteket, a Groovy annotation processing mechanizmusaival való visszaélés révén fordítási időben rosszindulatú kód futtatható. A hibák ilyen kombinációja lehetővé tette a kutatók számára, hogy pre-auth távoli kódfuttást érjenek el az érintett Oracle Identity Manager példányokon.
Az Oracle a 2025. októberi Security Updates részeként kijavította a sebezhetőséget. A frissítés 2025. október 21-én jelent meg.
A CISA a CVE-2025-61757 sebezhetőséget felvette a Known Exploited Vulnerabilities (KEV) katalógusába, és előírja, hogy az amerikai kormányzati szervek 2025. december 12-ig telepítsék a frissítést. A CISA emellett minden más szervezet számára is erősen javasolja az Oracle Identity Manager környezet mielőbbi frissítését, tekintettel a sebezhetőség kritikus besorolására és az aktív kihasználásra.