Oracle выпустила первое ежемесячное обновление безопасности CSPU: 35 уязвимостей, включая критическую с оценкой 10.0

Корпорация Oracle, один из крупнейших поставщиков СУБД и корпоративного ПО, представила Critical Security Patch Update (CSPU) за май 2026 года — первый выпуск нового ежемесячного цикла исправлений. Обновление закрывает 35 уязвимостей в Oracle Database, REST Data Services, E-Business Suite и других продуктах. Самая опасная из них — CVE-2026-46840 в Oracle REST Data Services — получила максимальную оценку CVSS 10.0 и допускает захват сервиса без аутентификации.

Oracle опубликовала Critical Security Patch Update (CSPU) за май 2026 года — первый выпуск в рамках нового ежемесячного цикла обновлений безопасности. В отличие от ежеквартальных Critical Patch Update (CPU), которые объединяют сотни исправлений по десяткам продуктовых линеек, CSPU задуман как компактный набор патчей для наиболее критичных уязвимостей, требующих ускоренного устранения. В дебютный выпуск вошло 35 исправлений.

Самой опасной признана уязвимость CVE-2026-46840 в компоненте Backend-as-a-Service продукта Oracle REST Data Services (ORDS) — шлюза, предоставляющего доступ к базам данных Oracle через REST API. Она получила максимально возможную оценку CVSS 3.1, равную 10.0. По описанию Oracle, уязвимость легко эксплуатируется неаутентифицированным злоумышленником по сети через HTTPS и может привести к полному захвату ORDS, затрагивая конфиденциальность, целостность и доступность. Затронуты версии ORDS с 24.2.0 по 26.1.0.

Всего для Oracle REST Data Services выпущено 11 исправлений, в том числе для собственного кода и встроенных сторонних компонентов; семь из закрытых уязвимостей могут эксплуатироваться удалённо без аутентификации. Помимо CVE-2026-46840, оценку выше 9 баллов получили уязвимости в ядре ORDS — CVE-2026-46775 и CVE-2026-46839 (по 9.9), для эксплуатации которых требуются сетевые учётные данные.

Обновление также затрагивает Oracle Database Server: для компонента Net Service в версиях с 23.4.0 по 23.26.2 выпущены три исправления (CVE-2026-46833, CVE-2026-46834 и CVE-2026-46835). Эти уязвимости эксплуатируются удалённо поверх TLS без аутентификации и относятся в том числе к клиентским установкам, где полноценный сервер БД не развёрнут. CVE-2026-46833 оценена в 9.0 балла.

В Oracle E-Business Suite (версии 12.2.3–12.2.15) закрыто 12 уязвимостей, затрагивающих такие модули, как Payments, Payroll, iAssets, Flow Manufacturing и Financials Common Modules; четыре из них имеют оценку выше 9 баллов. Отдельный патч выпущен для Oracle Communications Unified Assurance и для Oracle Hospitality OPERA 5 Property Services (CVE-2026-34311, CVSS 9.8). По имеющимся сообщениям, для ряда закрытых уязвимостей в сторонних компонентах уже существует код-подтверждение работоспособности (PoC).

Учитывая высокие оценки и возможность эксплуатации без аутентификации, администраторам рекомендуется проверить, используются ли в инфраструктуре уязвимые версии Oracle, и оперативно установить доступные обновления, в первую очередь для систем с ORDS, доступных из недоверенных сетей.