CISA manda órgãos federais corrigirem falha da Oracle explorada ativamente até sábado
16 de Julho de 2026

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos, CISA, determinou que agências federais protejam seus sistemas até sábado contra ataques em andamento que exploram uma vulnerabilidade crítica no Oracle E-Business Suite, ou EBS.

A falha foi descoberta no componente File Transmission do Oracle Payments, dentro do EBS, e é rastreada como CVE-2026-46817 .

O problema de segurança permite que threat actors sem autenticação, com acesso à rede via HTTP, assumam o controle de sistemas vulneráveis em ataques de baixa complexidade.

A Oracle lançou atualizações de segurança para corrigir o problema no pacote May 2026 Critical Security Patch Update e orientou os clientes a aplicar o patch imediatamente.

“Em alguns casos, foi relatado que os atacantes tiveram sucesso porque os clientes-alvo deixaram de aplicar os patches disponíveis da Oracle”, alertou a empresa na época.

“Por isso, a Oracle recomenda fortemente que os clientes permaneçam em versões com suporte ativo e apliquem os patches de segurança sem demora.”

Embora a Oracle ainda não tenha classificado a CVE-2026-46817 como explorada no mundo real, a empresa de inteligência de ameaças Defused informou em 29 de junho que agentes maliciosos já estavam explorando a falha em ataques reais.

“A CVE-2026-46817 , com CVSS 9,8, que permite tomada de controle via HTTP sem autenticação no Oracle E-Business, está sendo explorada.

No fim de semana, observamos um agente explorando a vulnerabilidade em nossos honeypots do Oracle E-Business.

Essa vulnerabilidade não tem histórico conhecido de exploração anterior e não existe código de prova de conceito público”, informou a Defused.

O serviço de monitoramento Shadowserver acompanha agora mais de 1.000 instâncias do Oracle EBS expostas à internet, mais da metade delas nos Estados Unidos.

Não há, porém, informação sobre quantas dessas instâncias são honeypots ou já foram protegidas contra os ataques em curso relacionados à CVE-2026-46817 .

Na quarta-feira, a CISA também confirmou que hackers estão explorando ativamente a vulnerabilidade, adicionando-a à sua lista de falhas de segurança conhecidas e determinando que agências do governo dos EUA apliquem o patch em instâncias vulneráveis do Oracle EBS até sábado, 18 de julho, conforme determina a Binding Operational Directive, ou BOD, 26-04.

“O Oracle E-Business Suite contém uma vulnerabilidade de gerenciamento incorreto de privilégios que permite a um atacante sem autenticação, com acesso à rede via HTTP, comprometer o Oracle Payments.

Ataques bem-sucedidos dessa vulnerabilidade podem resultar na tomada de controle do Oracle Payments”, disse a CISA.

“Esse tipo de vulnerabilidade é um vetor de ataque frequente para agentes cibernéticos maliciosos e representa riscos significativos para o ambiente federal.”

Em outubro, a agência também determinou que órgãos do governo corrigissem uma vulnerabilidade de server-side request forgery, ou SSRF, sem autenticação, no Oracle E-Business Suite, identificada como CVE-2025-61884 , após classificá-la como explorada ativamente no mundo real.

Mais recentemente, em junho, a CISA ordenou que os órgãos protegessem seus sistemas contra uma falha de alta gravidade no Oracle WebLogic Server, identificada como CVE-2024-21182 , que foi corrigida há dois anos e agora vem sendo explorada em ataques.

Nos últimos anos, a CISA sinalizou 43 problemas de segurança em diversos produtos da Oracle que foram explorados no mundo real.

Desses, 12 também foram abusados por grupos de ransomware.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Guardsi: qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...