Atacantes desconhecidos passaram a explorar ativamente a vulnerabilidade crítica CVE-2026-46817 (CVSS 9.8) no Oracle E-Business Suite entre 27 e 29 de junho de 2026, segundo a Defused Cyber. A falha permite que um invasor remoto, sem autenticação, assuma o controle do módulo Oracle Payments em instâncias das versões 12.2.3 a 12.2.15 que ainda não aplicaram o patch liberado em maio.

Trata-se de uma falha de gerenciamento impróprio de privilégios e autenticação no componente de transmissão de arquivos do Oracle Payments. Em linguagem simples, ela abre uma porta HTTP pela qual qualquer pessoa com acesso à rede consegue comprometer toda a instância de pagamentos sem usuário nem senha. A gravidade máxima (CVSS 9.8) reflete a combinação explosiva de acesso remoto, ausência de credenciais e impacto total sobre o sistema alvo.

Como o ataque acontece

O alerta de exploração ativa veio da Defused Cyber, que detectou a atividade em honeypots próprios voltados ao Oracle E-Business ao longo do fim de semana. Em comunicado, a empresa destacou que não havia registro prévio de exploração e que nenhum código de prova de conceito circulava publicamente até então — o que sugere um ator com conhecimento técnico do produto, e não meramente opportunistas copiando um PoC disponível.

A cadeia de ataque tira proveito da forma como o Oracle Payments processa requisições HTTP não autenticadas durante a transmissão de arquivos. O invasor envia uma solicitação especialmente montada que, em vez de ser rejeitada, é tratada como confiável, permitindo injeção de comandos e sequestro da sessão de administração do módulo. Do ponto de vista da vítima, o acesso ilegítimo se confunde com tráfego legítimo de pagamentos.

Versões afetadas e correção

A janela de exposição é larga. A correção só saiu no Critical Patch Update (CPU) de maio de 2026, e a exploração começou menos de 60 dias depois, um padrão que tem se repetido em produtos empresariais da Oracle. A tabela abaixo resume o panorama:

Componente Versões afetadas CVSS Patch Exploração ativa
Oracle Payments (EBS) 12.2.3 a 12.2.15 9.8 CPU maio/2026 Sim (desde jun/2026)
PeopleSoft Suite (CVE-2026-35273) Múltiplas 9.8 Junho/2026 Sim (ShinyHunters)
Oracle EBS (CVE-2025-61882) Múltiplas 9.8 Outubro/2025 Sim (Cl0p)

Conexão com ataques recentes

A pressão sobre produtos Oracle não é isolada. A CVE-2026-46817 chega na esteira de outras duas falhas críticas da mesma família que também foram weaponizadas: a CVE-2025-61882, usada pelo ransomware Cl0p desde agosto de 2025, e a CVE-2026-35273 no PeopleSoft, explorada pelo grupo ShinyHunters em campanhas de roubo e extorsão de dados. O pesquisador Jake Knott, da watchTowr, observou que a cadeia desses ataques combina múltiplas vulnerabilidades e exige familiaridade real com o código-base do produto.

Esse perfil indica atores sofisticados com capacidade de desenvolver capacidades direcionadas, em vez de exploradores casuais. É o mesmo padrão de weaponização rápida de CVEs observado em APTs que exploraram a falha do WinRAR (CVE-2025-8088) pouco depois da correção. Para um caso emblemático de como essa superfície tem sido atacada, leia a análise sobre como a campanha ShinyHunters comprometeu o PeopleSoft em cerca de 100 organizações, incluindo a fabricante Nissan.

Como se proteger agora

As organizações que executam Oracle E-Business Suite devem agir nesta ordem:

  • Aplique o CPU de maio de 2026 imediatamente em todos os ambientes 12.2.3 a 12.2.15, sem esperar o ciclo normal de janelas de manutenção.
  • Restrinja o acesso HTTP ao módulo Oracle Payments via rede interna, VPN corporativa ou lista de permissões de IP — a falha exige conectividade de rede, então segmentação reduz drasticamente a exposição.
  • Busque sinais de comprometimento prévio antes de aplicar o patch: logs de acesso HTTP anômalos no componente de pagamentos, sessões de administração em horários incomuns e alterações não documentadas em contas de serviço.
  • Assuma comprometimento e ative o processo de resposta a incidentes para determinar se houve acesso, persistência ou exfiltração antes da correção.
  • Rotacione credenciais de contas com acesso ao Oracle Payments após o patch, pois hashes e tokens podem ter sido coletados durante a janela de exposição.

Fontes