Oracle выпустила первые исправления в рамках нового ежемесячного цикла CSPU для устранения срочных уязвимостей. Первая партия включает 35 исправлений, в том числе 11 критических, затрагивающих REST Data Services и другие продукты. — csoonline.com
Компания Oracle выпустила первые исправления безопасности в рамках нового ежемесячного цикла Critical Security Patch Update (CSPU), предназначенного для устранения критических уязвимостей, которые не могут ждать планового ежеквартального выпуска патчей. Первая партия исправлений затрагивает 35 уязвимостей, включая несколько, для которых уже существует общедоступный код эксплойта.
В общей сложности выявлено 11 уязвимостей с рейтингом «критический», 18 с рейтингом «высокий» и 6 с рейтингом «средний». Наиболее важными на бумаге являются 10 критически оцененных уязвимостей, затрагивающих Oracle REST Data Services (CVE-2026-46840, CVE-2026-46775, CVE-2026-46839), Oracle E-Business Suite (CVE-2026-46822), портал Oracle Universal Work Queue (CVE-2026-46824) и Oracle Payments (CVE-2026-46817).
Несмотря на высокие оценки CVSS для этих багов, командам по установке патчей, вероятно, стоит начать с ряда более старых, но все еще серьезных уязвимостей, для которых, как сообщается, существует код PoC-эксплойта: CVE-2025-15467, CVE-2025-58050 и CVE-2026-25646 в системе управления сетями Oracle Communications Unified Assurance, а также CVE-2026-2332 в Oracle REST Data Services.
Все они связаны с компонентами с открытым исходным кодом, встроенными в продукты Oracle, а одна из них, CVE-2025-58050, была впервые обнародована в августе прошлого года, что подчеркивает, сколько времени может потребоваться для исправления уязвимостей в цепочке поставок современных платформ.
Еще одним приоритетным исправлением должна стать CVE-2026-46840 с идеальным рейтингом CVSS «10». Это уязвимость в компоненте backend-as-a-service сервиса REST Data Services версий от 24.2.0 до 26.1.0.
REST Data Services — это шлюз, который предоставляет доступ к корпоративным базам данных через API. Эта уязвимость делает интерфейс легко эксплуатируемым неаутентифицированным злоумышленником через HTTPS, что приводит к захвату шлюза и делает его приоритетной целью для атакующих.
В список высокого приоритета также заслуживают две уязвимости, затрагивающие ядро REST Data Services: CVE-2026-46775 и CVE-2026-46839. Оцененные в 9.9 по шкале CVSS, от получения максимальной оценки 10 их отделяет лишь необходимость наличия сетевых учетных данных для эксплуатации.
«Третья среда» Oracle
Анонсированный ранее в этом месяце ежемесячный CSPU задуман как небольшое обновление, устраняющее высокоприоритетные уязвимости до выхода более крупных и общих обновлений Critical Patch Updates (CPU), которые продолжат выпускаться ежеквартально. Первый CSPU был выпущен в прошлый четверг.
В примечаниях к обновлению Oracle заявила, что CSPU «предоставляет целенаправленные, высокоприоритетные исправления безопасности в меньшем, более сфокусированном формате, что упрощает их применение с минимальными перебоями».
Несмотря на освещение в СМИ систем автоматизированного поиска уязвимостей на базе ИИ, таких как Trusted Access for Cyber от OpenAI или Claude Mythos от Anthropic, к которым Oracle заявила о доступе, ни одно из открытий уязвимостей в мае не было приписано этим системам.
Переход на ежемесячный цикл обновлений ставит Oracle в один ряд с такими поставщиками ПО, как Microsoft и Adobe, и, по-видимому, является реакцией на рост числа более серьезных уязвимостей, о которых сообщается в последнее время.
В будущем компания будет выпускать CSPU в третью среду каждого месяца; первые четыре запланированы на 16 июня, 21 июля, 18 августа и 15 сентября. Клиенты Oracle Cloud обновляются автоматически.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John E. Dunn