Comienza la explotación de una vulnerabilidad crítica en Oracle E-Business Suite

Investigadores y honeypots han detectado el inicio de la explotación activa de CVE-2026-46817, una vulnerabilidad crítica (CVSS 9.8) en Oracle E-Business Suite (EBS) que permite ejecución remota de código sin autenticación. Los primeros intentos se registraron el fin de semana previo al 30 de junio de 2026.

El problema

El fallo reside en el componente File Transmissions dentro del módulo de Oracle Payments de EBS. Un atacante remoto sin credenciales puede enviar peticiones HTTP manipuladas para lograr ejecución de código en el servidor de aplicaciones, comprometiendo un sistema que suele alojar datos financieros, de nóminas y de proveedores.

  • CVE: CVE-2026-46817
  • CVSS: 9.8 (crítica)
  • Vector: HTTP remoto, sin autenticación (T1190)
  • Componente: File Transmissions / Oracle Payments
  • Parche: incluido en el Critical Security Patch Update (CSPU) de mayo de 2026, que corrigió 77 vulnerabilidades en EBS

El contexto es preocupante: en octubre de 2025 el grupo Cl0p explotó otra cadena de fallos en EBS para robar datos de más de 100 organizaciones. La comunidad de detección (honeypots de proyectos como Defused) confirma que los escaneos y exploits contra este nuevo CVE ya están en marcha.

Recomendaciones inmediatas

  • Aplica sin demora el CSPU de mayo de 2026 en todas las instancias EBS.
  • Restringe la exposición del módulo de Pagos y del endpoint File Transmissions a Internet: no debería ser accesible públicamente.
  • Coloca EBS detrás de un WAF y de una VPN o red de gestión segregada.
  • Revisa los logs del servidor de aplicaciones en busca de peticiones anómalas a /OA_HTML/ y despliegues de webshells.

¿Estás cubierto en DefensOps?

DefensOps detecta la explotación de vulnerabilidades web expuestas y el comportamiento posterior a la intrusión:

  • T1190 (Explotación de aplicación pública): reglas que correlacionan patrones de explotación web sin autenticar contra servidores de aplicaciones críticos.
  • T1210 (Explotación de servicios remotos): detección de movimiento lateral tras el compromiso inicial.

Disponible en el plan Advanced. El motor de correlación enlaza el intento de explotación con la creación de procesos hijo anómalos (webshells) y las conexiones salientes del servidor comprometido.

👉 Consulta los planes de DefensOps y solicita una demo


Fuentes: SecurityWeek