3 min de lectura

CISA da a las agencias federales hasta el sábado para parchear una falla de Oracle EBS

CISA dice que las agencias federales deben parchear Oracle E-Business Suite para el 18 de julio tras confirmarse la explotación activa de CVE-2026-46817.

Imagen: BleepingComputer

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha ordenado a las agencias federales que aseguren los sistemas vulnerables de Oracle E-Business Suite para el sábado 18 de julio, tras confirmar la explotación activa de una falla crítica en el software financiero de la plataforma.

El fallo, registrado como CVE-2026-46817, afecta al componente File Transmission en Oracle Payments para Oracle EBS. Según CISA, permite que un atacante no autenticado con acceso a la red vía HTTP comprometa Oracle Payments en un ataque de baja complejidad, pudiendo conducir a un control total de los sistemas afectados.

Oracle lanzó correcciones en su Actualización crítica de parches de seguridad de mayo de 2026 e instó a los clientes a aplicarlas de inmediato.

“En algunos casos se ha informado que los atacantes han tenido éxito porque los clientes objetivo no habían aplicado los parches de Oracle disponibles.” “Por ello, Oracle recomienda encarecidamente que los clientes permanezcan en versiones con soporte activo y apliquen los parches de seguridad sin demora.”

Oracle

Oracle no ha declarado públicamente que CVE-2026-46817 haya sido explotada en entornos reales, pero Defused dijo el 29 de junio que observó a atacantes utilizando la falla contra sus honeypots de Oracle E-Business.

Recomendado

El ransomware Spirals afectó a una red en menos de 24 horas

“CVE-2026-46817 (CVSS 9.8 — toma de control HTTP no autenticada en Oracle E-Business) está siendo explotada. Durante el fin de semana observamos a un actor explotando la vulnerabilidad en nuestros honeypots de Oracle E-Business. Esta vulnerabilidad no tiene explotaciones previas conocidas y no existe código POC público.”

Defused

Shadowserver está rastreando actualmente más de 1.000 instancias de Oracle EBS expuestas en Internet, con más de la mitad ubicadas en Estados Unidos. No está claro cuántas son honeypots o ya han sido parcheadas.

El miércoles, CISA añadió la falla a su catálogo de Vulnerabilidades Explotadas Conocidas y ordenó a las agencias que la remediasen en virtud de la Directiva Operativa Vinculante 26-04.

“Oracle E-Business Suite contiene una vulnerabilidad de gestión inadecuada de privilegios que permite a un atacante no autenticado con acceso a la red vía HTTP comprometer Oracle Payments. Un ataque exitoso de esta vulnerabilidad puede dar lugar a la toma de control de Oracle Payments.” “Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y suponen riesgos significativos para el sector federal.”

CISA

La orden sigue a otras directivas recientes de parches de emergencia relacionadas con Oracle. En octubre, CISA dijo a las agencias que corrigieran la vulnerabilidad SSRF de Oracle E-Business Suite CVE-2025-61884, que estaba siendo explotada activamente. En junio, también les ordenó parchear la vulnerabilidad de Oracle WebLogic Server CVE-2024-21182, un problema de alta gravedad corregido dos años antes que ahora está siendo explotado activamente.

En los últimos años, CISA ha identificado 43 vulnerabilidades explotadas en productos de Oracle, incluidas 12 que también fueron utilizadas por bandas de ransomware.

imagen del artículo
imagen del artículo
Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía BleepingComputer

// Sigue leyendo