Uma falha crítica de segurança que afeta o Oracle E-Business Suite está sendo explorada ativamente, segundo a Defused Cyber.
A vulnerabilidade, identificada como
CVE-2026-46817
e com pontuação CVSS de 9,8, envolve uma gestão inadequada de privilégios e uma falha de autenticação no Oracle Payments. Em mãos erradas, ela pode ser usada para assumir o controle de instâncias vulneráveis.
“Uma vulnerabilidade facilmente explorável permite que um invasor não autenticado, com acesso à rede via HTTP, comprometa o Oracle Payments”, diz a descrição da falha na National Vulnerability Database (NVD), do NIST. “Ataques bem-sucedidos podem resultar na tomada de controle do Oracle Payments.”
A falha afeta as versões da 12.2.3 à 12.2.15. A Oracle já havia liberado patches para o problema no mês passado, como parte de sua Critical Security Patch Update, e orientou os clientes a aplicá-los imediatamente. Desde então, a
CVE-2026-46817
passou a ser explorada ativamente.
Na segunda-feira, a Defused Cyber informou que, “durante o fim de semana, observamos um ator explorando a vulnerabilidade em nossos honeypots de Oracle E-Business”, acrescentando que “não há indícios de exploração anterior conhecida e não existe código público de prova de conceito”.
Até agora, porém, não há detalhes sobre como a falha está sendo explorada, quem está por trás dos ataques ou se a ação faz parte de uma campanha mais ampla, oportunista ou direcionada, contra sistemas sem patch.
O grupo de monitoramento Shadowserver agora acompanha mais de 450 instâncias do Oracle EBS expostas na internet, quase 200 delas nos Estados Unidos e na Europa. No entanto, não há informações sobre quantas já foram protegidas contra esses ataques em andamento.
No fim do ano passado, outra falha crítica no mesmo produto, a
CVE-2025-61882
, também com CVSS de 9,8, foi transformada em arma por threat actors ligados à operação de ransomware Cl0p. Os primeiros ataques teriam começado já em agosto de 2025, atingindo várias universidades dos Estados Unidos, incluindo Harvard University, University of Pennsylvania, Dartmouth College e University of Phoenix, além do Washington Post, da Logitech e da GlobalLogic.
No início deste mês, a Oracle corrigiu uma falha crítica de zero-day por autenticação ausente no PeopleSoft Suite, identificada como
CVE-2026-35273
e com CVSS de 9,8, que estava sendo explorada ativamente em ataques de roubo de dados e extorsão atribuídos ao ShinyHunters. A Nissan reconheceu depois que estava entre as vítimas.
A empresa afirmou ter sido alvo de uma invasão que envolveu a exploração da falha no PeopleSoft, com potencial exposição de registros de folha de pagamento, dados bancários, números de Previdência Social e outras informações pessoais e financeiras de funcionários nos Estados Unidos, Canadá, México e Brasil.
“O que chamou atenção foi que a
CVE-2026-35273
não é apenas mais uma vulnerabilidade trivial e fácil de explorar em uma única requisição”, disse Jake Knott, pesquisador principal de segurança da watchTowr, em comunicado. “A cadeia de ataque é consideravelmente mais complexa, combinando múltiplas vulnerabilidades para inserir um arquivo malicioso que não é executado imediatamente, mas fica aguardando até a reinicialização do servidor.”
“Em vez de bugs simples, estamos diante de uma cadeia de múltiplas vulnerabilidades, o que sugere um threat actor com conhecimento real e familiaridade com a base de código subjacente, além da capacidade de desenvolver recursos direcionados contra ela.”
Knott também destacou que os threat actors estão explorando vulnerabilidades mais rapidamente do que nunca e recomendou que as organizações assumam que houve comprometimento, ativando processos de resposta a incidentes para verificar se o acesso foi obtido antes da aplicação dos patches, o que foi acessado e se houve estabelecimento de persistência.
Nos últimos anos, a CISA já incluiu 44 vulnerabilidades em diferentes produtos da Oracle em sua lista de falhas exploradas em ataques reais, sendo que 13 delas também foram usadas em ataques de ransomware.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...