Oracle выпустила первый Critical Security Patch Update — новый тип набора исправлений безопасности для своих корпоративных продуктов. В майский выпуск вошли 35 новых патчей. Часть уязвимостей можно эксплуатировать удалённо без логина и пароля, а одна проблема в Oracle REST Data Services получила максимальную оценку критичности — 10.0 по шкале CVSS 3.1.
Раньше основная нагрузка приходилась на квартальные Critical Patch Update, которые выходят в январе, апреле, июле и октябре. Теперь между крупными квартальными пакетами появятся более короткие выпуски с приоритетными исправлениями. Первый такой пакет вышел 28 мая 2026 года. Следующие даты уже обозначены: 16 июня, 18 августа, 15 сентября и 17 ноября 2026 года.
В майский набор вошли исправления для пяти направлений: Oracle Database Server, Oracle REST Data Services, Oracle Communications Unified Assurance, Oracle E-Business Suite и Oracle Hospitality OPERA 5 Property Services. Это корпоративная инфраструктура: базы данных, веб-сервисы для работы с данными, телеком-платформы, ERP-системы и гостиничные приложения.
Самая опасная уязвимость получила идентификатор CVE-2026-46840. Она находится в компоненте Backend-as-a-Service в Oracle REST Data Services. Проблема доступна через HTTPS, не требует учётной записи и получила 10.0 баллов CVSS. Такой рейтинг означает максимальный риск: успешная эксплуатация может затронуть конфиденциальность, целостность и доступность системы.
Oracle REST Data Services в этом выпуске получил 11 новых исправлений. Семь уязвимостей из этой группы могут быть использованы удалённо без аутентификации. Кроме CVE-2026-46840, в списке есть две проблемы с оценкой 9.9 — CVE-2026-46775 и CVE-2026-46839. Для них уже нужны низкие привилегии, но потенциальный ущерб всё равно высокий.
Отдельный блок касается Oracle Database Server. В нём закрыты три уязвимости, все три допускают удалённую эксплуатацию без учетных данных. Наиболее серьёзная — CVE-2026-46833 в компоненте Net Service. Она получила 9.0 балла, использует TLS как сетевой протокол и затрагивает версии Oracle Database Server 23.4.0–23.26.2. Oracle отдельно указывает, что эти исправления применимы и к клиентским установкам без установленного серверного компонента базы данных.
Oracle Communications Unified Assurance получил восемь новых исправлений. Четыре уязвимости можно использовать удаленно без логина и пароля. Наиболее серьезная — CVE-2026-33557 в Message Bus, связанном с Apache Kafka. У неё 9.1 балла CVSS, сетевой вектор атаки и высокий потенциальный ущерб для конфиденциальности и целостности. Пакет также закрывает уязвимости в компонентах, связанных с MySQL Server, Apache ActiveMQ, PCRE2, Apache Tomcat, Apache ZooKeeper, libpng и Apache HTTP Server.
Крупный набор исправлений достался Oracle E-Business Suite. В этом семействе закрыто 12 уязвимостей, три из них допускают удаленную эксплуатацию без аутентификации. Затронуты версии 12.2.3–12.2.15 и разные модули: Payments, Payroll, iAssets, Flow Manufacturing, Financials Common Modules, Public Sector Financials и Universal Work Queue.
E-Business Suite часто используется как ядро корпоративных процессов: финансы, закупки, платежи, зарплаты, активы и внутренние операции. Уязвимость CVE-2026-46817 в Oracle Payments получила 9.8 балла и может быть использована через HTTP без учётных данных. Две другие проблемы — CVE-2026-46822 и CVE-2026-46824 — получили по 9.9 балла, но требуют низких привилегий.
Гостиничный сегмент тоже попал в выпуск. Oracle Hospitality OPERA 5 Property Services получил исправление для CVE-2026-34311. Уязвимость оценена в 9.8 балла, доступна через HTTP, не требует аутентификации и затрагивает несколько релизов ветки 5.6.x. OPERA используется в гостиничной отрасли для управления объектами размещения, поэтому ошибка такого класса может быть опасна для сетей отелей и сервисных провайдеров.
Oracle напоминает, что задержка с установкой патчей уже приводила к успешным атакам на клиентов. Компания не раскрывает технические детали уязвимостей сверх матриц риска, описаний условий эксплуатации и документации для установки. Такой подход используется, чтобы не упрощать работу атакующим до массового обновления систем.
Администраторам нужно проверить наличие затронутых продуктов и версий, оценить внешнюю доступность сервисов, установить исправления через My Oracle Support и не считать временные меры полноценной защитой. Блокировка сетевых протоколов или урезание прав может снизить риск, но такие меры способны сломать работу приложений и не заменяют патч.
Для команд ИБ приоритет выглядит так: сначала интернет-доступные ORDS и E-Business Suite, затем Database Server и Communications Unified Assurance, после этого гостиничные инсталляции OPERA 5. Особое внимание стоит уделить системам, которые давно не обновлялись или работают на версиях вне активной поддержки. Oracle предупреждает: старые релизы могут быть уязвимы.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
