Atacantes desconhecidos passaram a explorar ativamente a vulnerabilidade crítica CVE-2026-46817 (CVSS 9.8) no Oracle E-Business Suite entre 27 e 29 de junho de 2026, segundo a Defused Cyber. A falha permite que um invasor remoto, sem autenticação, assuma o controle do módulo Oracle Payments em instâncias das versões 12.2.3 a 12.2.15 que ainda não aplicaram o patch liberado em maio.
Trata-se de uma falha de gerenciamento impróprio de privilégios e autenticação no componente de transmissão de arquivos do Oracle Payments. Em linguagem simples, ela abre uma porta HTTP pela qual qualquer pessoa com acesso à rede consegue comprometer toda a instância de pagamentos sem usuário nem senha. A gravidade máxima (CVSS 9.8) reflete a combinação explosiva de acesso remoto, ausência de credenciais e impacto total sobre o sistema alvo.
Como o ataque acontece
O alerta de exploração ativa veio da Defused Cyber, que detectou a atividade em honeypots próprios voltados ao Oracle E-Business ao longo do fim de semana. Em comunicado, a empresa destacou que não havia registro prévio de exploração e que nenhum código de prova de conceito circulava publicamente até então — o que sugere um ator com conhecimento técnico do produto, e não meramente opportunistas copiando um PoC disponível.
A cadeia de ataque tira proveito da forma como o Oracle Payments processa requisições HTTP não autenticadas durante a transmissão de arquivos. O invasor envia uma solicitação especialmente montada que, em vez de ser rejeitada, é tratada como confiável, permitindo injeção de comandos e sequestro da sessão de administração do módulo. Do ponto de vista da vítima, o acesso ilegítimo se confunde com tráfego legítimo de pagamentos.
Versões afetadas e correção
A janela de exposição é larga. A correção só saiu no Critical Patch Update (CPU) de maio de 2026, e a exploração começou menos de 60 dias depois, um padrão que tem se repetido em produtos empresariais da Oracle. A tabela abaixo resume o panorama:
| Componente | Versões afetadas | CVSS | Patch | Exploração ativa |
|---|---|---|---|---|
| Oracle Payments (EBS) | 12.2.3 a 12.2.15 | 9.8 | CPU maio/2026 | Sim (desde jun/2026) |
| PeopleSoft Suite (CVE-2026-35273) | Múltiplas | 9.8 | Junho/2026 | Sim (ShinyHunters) |
| Oracle EBS (CVE-2025-61882) | Múltiplas | 9.8 | Outubro/2025 | Sim (Cl0p) |
Conexão com ataques recentes
A pressão sobre produtos Oracle não é isolada. A CVE-2026-46817 chega na esteira de outras duas falhas críticas da mesma família que também foram weaponizadas: a CVE-2025-61882, usada pelo ransomware Cl0p desde agosto de 2025, e a CVE-2026-35273 no PeopleSoft, explorada pelo grupo ShinyHunters em campanhas de roubo e extorsão de dados. O pesquisador Jake Knott, da watchTowr, observou que a cadeia desses ataques combina múltiplas vulnerabilidades e exige familiaridade real com o código-base do produto.
Esse perfil indica atores sofisticados com capacidade de desenvolver capacidades direcionadas, em vez de exploradores casuais. É o mesmo padrão de weaponização rápida de CVEs observado em APTs que exploraram a falha do WinRAR (CVE-2025-8088) pouco depois da correção. Para um caso emblemático de como essa superfície tem sido atacada, leia a análise sobre como a campanha ShinyHunters comprometeu o PeopleSoft em cerca de 100 organizações, incluindo a fabricante Nissan.
Como se proteger agora
As organizações que executam Oracle E-Business Suite devem agir nesta ordem:
- Aplique o CPU de maio de 2026 imediatamente em todos os ambientes 12.2.3 a 12.2.15, sem esperar o ciclo normal de janelas de manutenção.
- Restrinja o acesso HTTP ao módulo Oracle Payments via rede interna, VPN corporativa ou lista de permissões de IP — a falha exige conectividade de rede, então segmentação reduz drasticamente a exposição.
- Busque sinais de comprometimento prévio antes de aplicar o patch: logs de acesso HTTP anômalos no componente de pagamentos, sessões de administração em horários incomuns e alterações não documentadas em contas de serviço.
- Assuma comprometimento e ative o processo de resposta a incidentes para determinar se houve acesso, persistência ou exfiltração antes da correção.
- Rotacione credenciais de contas com acesso ao Oracle Payments após o patch, pois hashes e tokens podem ter sido coletados durante a janela de exposição.
Fontes
- The Hacker News — Oracle E-Business Suite Flaw CVE-2026-46817 Actively Exploited in the Wild
- BleepingComputer — Hackers now exploit critical Oracle E-Business flaw in attacks
- Security Affairs — Attackers actively exploit the Oracle E-Business Suite flaw CVE-2026-46817
- Mallory AI — Critical Oracle E-Business Suite Flaw Exploited for Unauthenticated Takeover