Aktívan kihasználják az Oracle E-Business Suite hibáját

Az Oracle E-Business Suite egyik súlyos hibáját, a CVE-2026-46817 azonosítót viselő sebezhetőséget már aktívan kihasználják a támadók. A májusi Oracle Critical Security Patch Update – amely 35 új javítást tartalmazott és az E-Business Suite esetében 12 új biztonsági javítást sorolt fel – szerint az Oracle E-Business Suite 12.2.3–12.2.15 verziói érintettek, és a konkrét CVE-2026-46817 az Oracle Payments File Transmission komponenshez kapcsolódik.

A probléma az Oracle Payments „File Transmission” komponensében van. Egy távoli, hálózati hozzáféréssel rendelkező, nem hitelesített támadó HTTP-n keresztül kompromittálhatja az Oracle Payments modult, ami végső soron az érintett példányok átvételéhez vezethet. A hibához 9.8-as CVSS pontszám tartozik, vagyis kritikusan súlyos sérülékenységről van szó.

Ez azért lényeges, mert az EBS sok szervezetnél nem önálló, hanem más Oracle-komponensekkel együtt futó üzleti platform, így a teljes környezet biztonsága függ a pontos verziótól és a telepített patch-szinttől.

Az Oracle külön kiemeli, hogy az E-Business Suite kockázati mátrixa csak az adott termékhez tartozó új javításokat listázza, miközben a mögöttes Database és Fusion Middleware-komponensek frissítése is indokolt lehet a teljes védelemhez.

Az Oracle külön hangsúlyozza, hogy az ügyfelek maradjanak aktívan támogatott verziókon, és a javításokat késedelem nélkül alkalmazzák, mert korábban is többször előfordult, hogy már kijavított hibákat használtak ki a támadók a patch-et nem telepítő rendszereken.

A Defused Cyber honeypotjaiban hétvégén már támadási próbálkozásokat észleltek. A beszámolók szerint jelenleg nincs ismert publikus proof-of-concept kód, és nem ismert pontosan az sem, kik állnak a támadások mögött vagy milyen kampány részeként használják a hibát.

Az Oracle szerint a javítások telepítéséig átmenetileg segíthet bizonyos hálózati protokollok blokkolása vagy a szükségtelen jogosultságok eltávolítása, de ez nem végleges megoldás. A cég kifejezetten hangsúlyozza, hogy az ilyen kerülő intézkedések törhetik az alkalmazás működését, ezért előbb nem produkciós rendszeren kell tesztelni őket.

A valódi megoldás továbbra is a patch telepítése, majd annak ellenőrzése, hogy a javítás minden érintett Oracle Home-ban és kapcsolódó komponensben megtörtént.

(oracle.com)