22. November 2025
Authentifizierungslos zum Systemzugriff
Die US-Cybersicherheitsbehörde CISA hat eine Sicherheitslücke in Oracle Fusion Middleware in ihren Katalog aktiv ausgenutzter Schwachstellen aufgenommen. Die unter CVE-2025-61757 geführte Verwundbarkeit betrifft den Identity Manager und ermöglicht Angreifern die vollständige Kompromittierung betroffener Systeme – ganz ohne vorherige Authentifizierung.
Oracle Identity Manager im Visier von Angreifern
Die Schwachstelle steckt in der REST-WebServices-Komponente des Oracle Identity Managers. Betroffen sind die noch unterstützten Versionen 12.2.1.4.0 und 14.1.2.1.0. Angreifer benötigen lediglich Netzwerkzugriff über HTTP, um die Lücke auszunutzen – administrative Privilegien oder Nutzerinteraktion sind nicht erforderlich.
Nach Einschätzung von Oracle erreicht die Verwundbarkeit den maximalen CVSS-3.1-Score von 9,8 (kritisch). Der vollständige CVSS-Vektor (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) verdeutlicht die Brisanz: Vertraulichkeit, Integrität und Verfügbarkeit sind gleichermaßen hochgradig gefährdet.
Fehlende Authentifizierungsprüfung als Einfallstor
Die Ursache liegt in einer fehlenden Authentifizierungsprüfung für kritische Funktionen. Diese Schwachstelle zählt zu den häufigsten Angriffsvektoren in der IT-Sicherheit und stellt insbesondere für Bundesbehörden und kritische Infrastrukturen ein erhebliches Risiko dar. Erfolgreiche Attacken führen zur vollständigen Übernahme des Identity-Management-Systems – mit weitreichenden Konsequenzen für die gesamte Authentifizierungs- und Berechtigungsinfrastruktur.
Handlungsbedarf für Administratoren
Die Aufnahme in den CISA-Katalog signalisiert, dass die Schwachstelle bereits aktiv in freier Wildbahn ausgenutzt wird. Organisationen, die Oracle Identity Manager einsetzen, sollten umgehend verfügbare Sicherheitsupdates einspielen. US-Bundesbehörden sind gemäß Binding Operational Directive (BOD) 22-01 verpflichtet, die Lücke innerhalb vorgegebener Fristen zu schließen.
Auch Unternehmen außerhalb des Regierungsumfelds sollten die Verwundbarkeit priorisiert behandeln, da Identity-Management-Systeme häufig Zugriff auf geschäftskritische Ressourcen und sensible Daten kontrollieren.
Weiteres
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
Wenn Angreifer selbst zum Ziel werden: Wie Forscher eine Infostealer-Infrastruktur kompromittierten
Mehr Gesetze, mehr Druck: Was bei NIS2, CRA, DORA & Co. am Ende zählt
WinDbg-UI blockiert beim Kopieren: Ursachenforschung führt zu Zwischenablage-Deadlock in virtuellen Umgebungen
RISE with SAP: Wie Sicherheitsmaßnahmen den Return on Investment sichern
Jailbreaking: Die unterschätzte Sicherheitslücke moderner KI-Systeme
Studien
Deutsche Unicorn-Gründer bevorzugen zunehmend den Standort Deutschland
IT-Modernisierung entscheidet über KI-Erfolg und Cybersicherheit
Neue ISACA-Studie: Datenschutzbudgets werden trotz steigender Risiken voraussichtlich schrumpfen
Cybersecurity-Jahresrückblick: Wie KI-Agenten und OAuth-Lücken die Bedrohungslandschaft 2025 veränderten
![Featured image for “Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum”](https://www.all-about-security.de/wp-content/uploads/2025/12/phishing-4.jpg)
Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum
Whitepaper
ETSI veröffentlicht weltweit führenden Standard für die Sicherung von KI
Allianz Risk Barometer 2026: Cyberrisiken führen das Ranking an, KI rückt auf Platz zwei vor
Cybersecurity-Jahresrückblick: Wie KI-Agenten und OAuth-Lücken die Bedrohungslandschaft 2025 veränderten
NIS2-Richtlinie im Gesundheitswesen: Praxisleitfaden für die Geschäftsführung
Datenschutzkonformer KI-Einsatz in Bundesbehörden: Neue Handreichung gibt Orientierung
Hamsterrad-Rebell
Cyberversicherung ohne Datenbasis? Warum CIOs und CISOs jetzt auf quantifizierbare Risikomodelle setzen müssen
Identity Security Posture Management (ISPM): Rettung oder Hype?
Platform Security: Warum ERP-Systeme besondere Sicherheitsmaßnahmen erfordern
Daten in eigener Hand: Europas Souveränität im Fokus
