Por Mid 
La vulnerabilidad Oracle Identity Manager CVE-2025-61757 ha sido catalogada como crítica con un score CVSS de 9.8 tras confirmarse su explotación activa como zero-day. CISA (Cybersecurity and Infrastructure Security Agency) agregó esta falla a su catálogo KEV (Known Exploited Vulnerabilities) el 22 de noviembre de 2025, advirtiendo que atacantes explotaron la vulnerabilidad Oracle Identity Manager CVE-2025-61757 antes de que Oracle lanzara el parche en octubre. Esta vulnerabilidad crítica permite ejecución remota de código sin autenticación en Oracle Identity Manager versiones 12.2.1.4.0 y 14.1.2.1.0, afectando sistemas críticos de gestión de identidades empresariales.
¿Qué es la Vulnerabilidad Oracle Identity Manager CVE-2025-61757?
La vulnerabilidad Oracle Identity Manager CVE-2025-61757 es una falla de tipo «missing authentication for critical function» que permite a atacantes no autenticados ejecutar código arbitrario remotamente. Oracle Identity Manager (OIM) forma parte de Oracle Fusion Middleware y es utilizado por organizaciones globales para gestionar identidades, permisos y flujos de autenticación en entornos empresariales críticos.
Según los investigadores de Searchlight Cyber, esta vulnerabilidad Oracle Identity Manager CVE-2025-61757 explota un mecanismo defectuoso de allowlist basado en expresiones regulares. Atacantes pueden manipular URIs agregando parámetros como ?WSDL o ;.wadl para eludir los filtros de seguridad REST, haciendo que endpoints protegidos aparezcan como públicamente accesibles, similar a otras vulnerabilidades de bypass de autenticación vistas en 2025.
Detalles Técnicos de la Vulnerabilidad Oracle Identity Manager CVE-2025-61757
El ataque que explota la vulnerabilidad Oracle Identity Manager CVE-2025-61757 aprovecha dos elementos clave:
- Bypass de autenticación REST: Al anexar
?WSDLo;.wadla la URL, el filtro de seguridad confunde endpoints protegidos con rutas públicas, otorgando acceso sin credenciales. - Endpoint Groovy vulnerable: Una vez dentro, los atacantes acceden al endpoint
/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus, que permite compilar código Groovy malicioso.
La cadena de explotación de la vulnerabilidad Oracle Identity Manager CVE-2025-61757 funciona así:
- Atacante envía una solicitud HTTP POST a:
/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl - El filtro de seguridad lo interpreta erróneamente como un endpoint público WADL
- Se obtiene acceso sin autenticación al endpoint de compilación Groovy
- Se inyecta código malicioso usando anotaciones de Groovy que se ejecutan en tiempo de compilación
- Ejecución remota de código (RCE) con privilegios del sistema Oracle Identity Manager
Esta técnica bypass los controles sintácticos del endpoint, ya que las anotaciones de Groovy se procesan antes de la validación de sintaxis. La vulnerabilidad Oracle Identity Manager CVE-2025-61757 es particularmente peligrosa porque no requiere interacción del usuario ni credenciales previas.
Versiones Afectadas por la Vulnerabilidad Oracle Identity Manager CVE-2025-61757
Las versiones confirmadas como vulnerables a CVE-2025-61757 son:
- Oracle Identity Manager 12.2.1.4.0 (todas las builds)
- Oracle Identity Manager 14.1.2.1.0 (todas las builds)
Estas versiones forman parte de Oracle Fusion Middleware, ampliamente desplegado en sectores como banca, gobierno, telecomunicaciones, retail y salud para gestionar autenticación centralizada, control de acceso basado en roles (RBAC) y aprovisionamiento de usuarios.
Oracle lanzó el parche oficial en el Critical Patch Update (CPU) de octubre 2025, publicado el 21 de octubre de 2025. Sin embargo, análisis forenses revelaron que la vulnerabilidad Oracle Identity Manager CVE-2025-61757 fue explotada como zero-day entre el 30 de agosto y el 9 de septiembre de 2025, semanas antes del parche.
Explotación Activa: Evidencias de Ataques Zero-Day
El dean de investigación del SANS Technology Institute, Johannes B. Ullrich, reportó actividad sospechosa en honeypots entre el 30 de agosto y el 9 de septiembre de 2025. Los registros mostraron múltiples intentos de acceso explotando la vulnerabilidad Oracle Identity Manager CVE-2025-61757:
POST /iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadlLas direcciones IP asociadas a estos intentos de explotación fueron:
89.238.132.76185.245.82.81138.199.29.153
Estos IOCs (Indicators of Compromise) confirman que actores maliciosos conocían y explotaban la vulnerabilidad Oracle Identity Manager CVE-2025-61757 antes del disclosure público, clasificándola como un ataque zero-day auténtico.
CISA ordenó a las agencias federales civiles (FCEB) aplicar el parche antes del 12 de diciembre de 2025, reconociendo el riesgo extremo que representa esta vulnerabilidad para infraestructuras críticas. El organismo estadounidense clasificó CVE-2025-61757 como una de las vulnerabilidades más peligrosas de 2025.
Impacto de la Vulnerabilidad Oracle Identity Manager CVE-2025-61757
La explotación exitosa de la vulnerabilidad Oracle Identity Manager CVE-2025-61757 permite a atacantes:
- Ejecutar código arbitrario remotamente sin necesidad de credenciales
- Manipular flujos de autenticación para crear cuentas privilegiadas
- Escalar privilegios dentro del entorno Oracle Identity Manager
- Moverse lateralmente por sistemas corporativos conectados al OIM
- Comprometer identidades empresariales y acceder a aplicaciones críticas (ERP, CRM, bases de datos)
- Instalar backdoors persistentes para acceso futuro
Dada la naturaleza centralizada de Oracle Identity Manager como sistema de gestión de identidades y accesos (IAM), una brecha en OIM puede comprometer toda la infraestructura de autenticación corporativa, otorgando a atacantes acceso a múltiples sistemas downstream.
Mitigaciones y Recomendaciones de Seguridad
Oracle y CISA recomiendan las siguientes acciones inmediatas para protegerse de la vulnerabilidad Oracle Identity Manager CVE-2025-61757:
1. Aplicar el Parche de Oracle
Instalar el Oracle Critical Patch Update de octubre 2025 que corrige la vulnerabilidad Oracle Identity Manager CVE-2025-61757. El parche está disponible en el Advisory oficial de Oracle.
2. Auditar Logs de Acceso
Revisar logs de acceso HTTP/HTTPS en busca de patrones sospechosos relacionados con la explotación de CVE-2025-61757:
- URIs que contengan
?WSDLo;.wadldirigidos a endpoints de OIM - Solicitudes POST al endpoint
/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus - Conexiones desde las IPs IOC mencionadas anteriormente
3. Implementar Controles de Red
Mientras se aplica el parche para mitigar la vulnerabilidad Oracle Identity Manager CVE-2025-61757:
- Restringir acceso a Oracle Identity Manager solo a IPs corporativas conocidas
- Bloquear tráfico externo a puertos de administración OIM (típicamente 14000, 7001)
- Implementar WAF (Web Application Firewall) con reglas que detecten parámetros
?WSDLy;.wadlen URIs protegidas
4. Monitoreo Continuo
Configurar alertas SOC/SIEM para detectar intentos de explotación de CVE-2025-61757:
- Cambios no autorizados en usuarios y roles de OIM
- Creación de cuentas administrativas sospechosas
- Accesos anómalos a APIs de gestión de identidades
Contexto: Oracle en el Radar de Atacantes
Esta no es la primera vez que componentes críticos de Oracle son explotados como zero-day. En 2024, múltiples vulnerabilidades en Oracle WebLogic y E-Business Suite fueron agregadas al catálogo KEV de CISA tras explotación activa, al igual que otras brechas de seguridad críticas que afectaron infraestructuras empresariales.
La popularidad de Oracle Fusion Middleware en entornos empresariales lo convierte en un objetivo atractivo para grupos APT (Advanced Persistent Threat) que buscan acceso persistente a redes corporativas. Oracle Identity Manager, en particular, es crítico porque controla el acceso a prácticamente todos los sistemas empresariales integrados.
Organizaciones que usan Oracle IAM deben priorizar la aplicación de parches para la vulnerabilidad Oracle Identity Manager CVE-2025-61757 y adoptar un modelo de defensa en profundidad que incluya segmentación de red, autenticación multifactor (MFA), y monitoreo continuo de comportamientos anómalos.
FAQ: Preguntas Frecuentes sobre CVE-2025-61757
¿Qué es CVE-2025-61757?
CVE-2025-61757 es una vulnerabilidad crítica (CVSS 9.8) de ejecución remota de código sin autenticación en Oracle Identity Manager que permite a atacantes comprometer sistemas de gestión de identidades empresariales.
¿Qué versiones de Oracle Identity Manager están afectadas?
Las versiones 12.2.1.4.0 y 14.1.2.1.0 de Oracle Identity Manager son vulnerables a CVE-2025-61757. Usuarios deben actualizar al parche de octubre 2025.
¿Ha sido explotada la vulnerabilidad Oracle Identity Manager CVE-2025-61757 en ataques reales?
Sí, CISA confirmó explotación activa de la vulnerabilidad Oracle Identity Manager CVE-2025-61757 como zero-day entre agosto y septiembre 2025, antes de la publicación del parche de Oracle en octubre.
¿Cómo puedo proteger mi sistema Oracle Identity Manager de CVE-2025-61757?
Aplicar inmediatamente el Oracle Critical Patch Update de octubre 2025, auditar logs en busca de IOCs, restringir acceso de red a OIM, e implementar monitoreo continuo para detectar explotación de la vulnerabilidad Oracle Identity Manager CVE-2025-61757.
¿Cuál es la fecha límite para parchear según CISA?
CISA ordenó a agencias federales aplicar el parche para CVE-2025-61757 antes del 12 de diciembre de 2025. Organizaciones privadas deben considerar esta fecha como referencia de urgencia.
La vulnerabilidad Oracle Identity Manager CVE-2025-61757 representa un riesgo crítico para cualquier organización que dependa de Oracle Fusion Middleware para gestión de identidades. La combinación de un CVSS de 9.8, explotación confirmada como zero-day, y el acceso sin autenticación que otorga, la convierte en una de las vulnerabilidades más peligrosas del cuarto trimestre de 2025. Organizaciones deben actuar con urgencia para aplicar parches, revisar logs y fortalecer controles de acceso antes de que actores maliciosos puedan comprometer sistemas críticos de autenticación empresarial explotando la vulnerabilidad Oracle Identity Manager CVE-2025-61757.