Se han descubierto vulnerabilidades de severidad alta en productos Oracle. Un actor malicioso podría obtener acceso no autorizado a datos críticos, comprometer la confidencialidad de la información o manipular el tráfico entre el cliente y el servidor.
Productos afectados
- Oracle Database Server.
- Oracle Communications.
- Oracle E-Business Suite.
- Oracle Enterprise Manager Base Platform.
- Oracle Financial Services.
- Oracle Fusion Middleware.
- Oracle Java SE.
- Oracle Life Sciences Empirica Signal.
- Oracle VirtualBox.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-35229: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad en el componente Java VM de Oracle Database Server. Un actor malicioso remoto y no autenticado podría, a través de la red mediante Oracle Net, comprometer la Java VM para obtener acceso completo a todos los datos accesibles por dicho componente o acceder a información crítica del sistema.
CVE-2026-31790: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de comprobación inadecuada de condiciones excepcionales en el uso de encapsulación de claves RSASVE. Un actor malicioso remoto podría inducir el envío de contenidos de un búfer de memoria no inicializado, lo que resultaría en la filtración de datos sensibles de ejecuciones previas del proceso.
CVE-2026-33870: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de interpretación inconsistente de solicitudes HTTP en el framework Netty. Un actor malicioso remoto podría explotar el análisis incorrecto de cadenas entrecomilladas en las extensiones de codificación de transferencia segmentada de HTTP/1.1 para manipular el tráfico entre el cliente y el servidor.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias