[TLP:CLEAR] Oracle E-Business Suite opravuje krytickú zraniteľnosť
Oracle opravuje kritickú zraniteľnosť v produkte Oracle E-Business Suite. Oprava bola vydaná v rámci Critical Security Patch Update z mája 2026 [1].
Neautentizovanému vzdialenému útočníkovi je prostredníctvom protokolu HTTP umožnené prevziať kontrolu nad komponentom Oracle Payments [1][3]. Zraniteľnosť je aktívne zneužívaná, v čase zverejnenia neexistoval verejný PoC ani podrobnosti o spôsobe zneužitia [2].
Zraniteľnosť sa nachádza v produkte Oracle E-Business Suite vo verziách >=12.2.3 AND <=12.2.15.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2026-46817 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-269: Improper Privilege Management at cwe.mitre.org
- CWE-287: Improper Authentication at cwe.mitre.org
- CWE-306: Missing Authentication for Critical Function at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 28. 6. 2026.
Odkazy
Za CESNET-CERTS Henrieta Paločková dňa 30. 6. 2026.