Zneužívaná kritická zraniteľnosť Oracle EBS Payments
Spoločnosť Oracle opravila kritickú zraniteľnosť v aplikácii Oracle Payments, ktorá je súčasťou E-Business Suite. Neautentifikovaný útočník ju môže zneužiť pre získanie kontroly nad aplikáciou. Zraniteľnosť je aktívne zneužívaná.
Zraniteľné systémy:
- Oracle E-Business Suite, Oracle Payments 12.2.3 až 12.2.15
Opis činnosti:
CVE-2026-46817 (CVSS skóre 9,8)
Kritická zraniteľnosť v Oracle Payments (súčasť Oracle E-Business Suite) sa nachádza v komponente File Transmission. Podľa kategorizácie CWE súvisí s nevhodným spôsobom prideľovania oprávnení a absentujúcou autentifikáciou pre nešpecifikovanú kritickú funkciu.
Neautentifikovaný vzdialený útočník môže cez HTTP kompromitovať zraniteľnú inštanciu a prevziať nad ňou kontrolu. Bližšie informácie o zraniteľnosti spoločnosť Oracle nezverejnila.
Americká organizácia CISA pridala chybu zabezpečenia do svojho katalógu zneužívaných zraniteľností (KEV).
Možné škody:
- Obídenie bezpečnostných opatrení
Odporúčania:
Bezodkladná aktualizácia aspoň na verziu s opravami vydanú v rámci májového balíka „Critical Security Patch Update“.
Odkazy: