Zneužívaná kritická zraniteľnosť Oracle EBS Payments

Spoločnosť Oracle opravila kritickú zraniteľnosť v aplikácii Oracle Payments, ktorá je súčasťou E-Business Suite. Neautentifikovaný útočník ju môže zneužiť pre získanie kontroly nad aplikáciou. Zraniteľnosť je aktívne zneužívaná.

Zraniteľné systémy:

  • Oracle E-Business Suite, Oracle Payments 12.2.3 až 12.2.15

Opis činnosti:

CVE-2026-46817 (CVSS skóre 9,8)

Kritická zraniteľnosť v Oracle Payments (súčasť Oracle E-Business Suite) sa nachádza v komponente File Transmission. Podľa kategorizácie CWE súvisí s nevhodným spôsobom prideľovania oprávnení a absentujúcou autentifikáciou pre nešpecifikovanú kritickú funkciu.

Neautentifikovaný vzdialený útočník môže cez HTTP kompromitovať zraniteľnú inštanciu a prevziať nad ňou kontrolu. Bližšie informácie o zraniteľnosti spoločnosť Oracle nezverejnila.

Americká organizácia CISA pridala chybu zabezpečenia do svojho katalógu zneužívaných zraniteľností (KEV).

Možné škody:

  • Obídenie bezpečnostných opatrení

Odporúčania:

Bezodkladná aktualizácia aspoň na verziu s opravami vydanú v rámci májového balíka „Critical Security Patch Update“.

Odkazy: