В сети нашли около 950 открытых экземпляров Oracle E-Business Suite — злоумышленники уже тестируют критическую уязвимость CVE-2026-46817. Проблема находится в Oracle Payments, компоненте File Transmission, и позволяет атакующему без учётной записи обратиться к системе по HTTP и скомпрометировать Oracle Payments. Оценка риска — 9,8 из 10 по CVSS.
Oracle закрыла уязвимость ещё в майском Critical Security Patch Update. В этом выпуске для Oracle E-Business Suite вышли 12 исправлений, три из них относятся к уязвимостям, которые можно использовать удалённо без аутентификации. Для CVE-2026-46817 в бюллетене указаны версии Oracle E-Business Suite 12.2.3–12.2.15, продукт Oracle Payments, компонент File Transmission, протокол HTTP и полный impact по конфиденциальности, целостности и доступности.
Oracle E-Business Suite — это н корпоративная ERP-платформа, где живут финансы, закупки, платежи, поставщики, заказы, HR-процессы и другие чувствительные бизнес-данные.
Первые признаки эксплуатации зафиксировала компания Defused. Её приманки Oracle E-Business Suite поймали 27 июня шесть попыток неаутентифицированного чтения файлов из одного источника. Исследователи отметили: публичного proof-of-concept на тот момент не было, а раньше эксплуатацию этой CVE не фиксировали. Это значит, что кто-то уже работал с уязвимостью до того, как она стала массовым скриптом.
В captured-запросе, опубликованном в очищенном виде, видно обращение POST к /OA_HTML/… с XML-телом DeliveryRequest. Внутри передаётся параметр FULL_FILE_PATH, то есть атака выглядит как попытка заставить компонент доставки файлов прочитать путь, который ему читать не положено. Defused называет эту активность targeted proof-of-concept, а не широким интернет-сканированием.
Shadowserver сообщил, что отслеживает около 950 Oracle EBS-инстансов, доступных из интернета. Важно не перепутать две вещи: 950 — это число видимых снаружи экземпляров. Данных о том, сколько из них уже установили майский патч Oracle и закрыли CVE-2026-46817, публично нет.
Патч вышел 28 мая, первые атаки Defused увидела 27 июня. Между исправлением и эксплуатацией прошло примерно шесть недель.
CVE-2026-46817 выглядит как уязвимость с идеальным профилем для быстрой эксплуатации. Сетевой вектор, низкая сложность, не нужны права, не нужно действие пользователя. NVD описывает её как легко эксплуатируемую проблему в Oracle Payments, которая позволяет атакующему с сетевым доступом по HTTP скомпрометировать продукт.
В описании уязвимости также указаны CWE-269, CWE-287 и CWE-306 — неправильное управление привилегиями, ошибка аутентификации и отсутствие аутентификации для критической функции. Такая связка часто означает, что компонент доверяет запросу больше, чем должен, а проверка прав срабатывает поздно или не срабатывает там, где должна.
Oracle в майском бюллетене отдельно напоминает, что E-Business Suite зависит от компонентов Oracle Database и Oracle Fusion Middleware. Уязвимости в этих слоях тоже могут влиять на EBS, поэтому производитель рекомендует применять майский пакет исправлений не только к самой ERP, но и к базе данных и middleware-компонентам, которые используются в окружении E-Business Suite.
Поэтому важно проверить весь стек: EBS 12.2.3–12.2.15, Oracle Database, Fusion Middleware, доступность /OA_HTML/, внешние маршруты, интеграции с платёжными и файловыми компонентами, журналы HTTP-запросов и следы чтения нестандартных путей.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
Читайте также
382 уязвимости за один релиз: Google выпустила большой патч Chrome и закрыла 15 критических уязвимостей
Чистый GitHub-репозиторий заставил ИИ-кодера запустить вредонос: новая атака бьёт по доверию к агентам