Se han lanzado actualizaciones de seguridad que corrigen múltiples vulnerabilidades en los productos de Oracle. Entre ellas se encuentran tres de severidad critica. Un actor malicioso podría lograr la ejecución remota de código, la manipulación de datos, la escalada de privilegios, la denegación de servicio y la divulgación de información en las plataformas afectadas.
Productos afectados
- REST Data Services
- iAssets
- Universal Work Queue
- Hospitality OPERA 5 Property Services
- Payments
- Internet Procurement Connector
- Database Server
- Payroll
- Flow Manufacturing
- Financials Common Modules
- Public Sector Financials (International)
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-46840: con una puntuación de 10.0 en CVSS v3.1. Existe una vulnerabilidad en el componente Web Commerce de Oracle. Un actor malicioso remoto podría aprovechar esta condición a través de solicitudes HTTP diseñadas específicamente para realizar ataques a REST Data Services, lo que permitiría comprometer por completo la confidencialidad, integridad y disponibilidad del sistema afectado.
CVE-2026-46839: con una puntuación de 9.9 en CVSS v3.1. Existe una vulnerabilidad de control de acceso o validación incorrecta en el componente Core de Oracle REST Data Services. Un actor malicioso remoto podría aprovechar esta condición a través del protocolo HTTPS para comprometer y tomar el control total del servicio afectado, extendiendo potencialmente el impacto hacia otros productos conectados dentro del entorno.
CVE-2026-46824: con una puntuación de 9.9 en CVSS v3.1. Existe una vulnerabilidad en el componente Work Provider Site Level Administration de Oracle. Un actor malicioso remoto podría aprovechar esta condición mediante solicitudes HTTP para comprometer la integridad, confidencialidad y disponibilidad de la aplicación, facilitando la toma de control del componente y de sistemas adyacentes.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias