Oracle выпустила крупное обновление безопасности — April 2026 Critical Patch Update (CPU), включающее 481 новый патч для 28 продуктовых семейств.
По данным компании, более 300 исправлений устраняют уязвимости, которые могут быть эксплуатированы удалённо без аутентификации. Около 30 патчей закрывают критические уязвимости высокой степени тяжести. Всего в обновлении затронуто примерно 450 уникальных CVE.
Часть уязвимостей затрагивает сразу несколько продуктов, поэтому один и тот же CVE мог быть исправлен в разных системах. В ряде случаев Oracle также включила сторонние исправления, не связанные напрямую с её собственным кодом.
Наибольшее число патчей получил продукт Oracle Communications — 139 исправлений, из которых 93 касаются удалённо эксплуатируемых уязвимостей без аутентификации. Далее следуют Financial Services Applications (75 патчей, 59 из них — удалённые уязвимости) и Fusion Middleware (59 патчей, 46 — удалённая эксплуатация без аутентификации).
Существенные обновления также затронули MySQL (34 патча), PeopleSoft (21), E-Business Suite (18), Analytics (15), Retail Applications (15), Siebel CRM (14), а также Java SE, Enterprise Manager, GoldenGate и ряд других корпоративных платформ Oracle.
Отдельно отмечается, что около 390 устранённых уязвимостей уже были публично раскрыты в течение последних двух лет. Основная часть остальных относится к периоду 2022–2024 годов, однако 5 уязвимостей были опубликованы ещё в 2020–2021 годах.
Обновление вышло через месяц после экстренного патча для CVE-2026-21992 — критической уязвимости удалённого выполнения кода в Identity Manager и Web Services Manager.