CISA наказала федеральним установам США закрити вразливість Oracle EBS до 18 липня
Агентство кібербезпеки та захисту інфраструктури США внесло CVE-2026-46817 до каталогу вразливостей, які вже використовують у реальних атаках, і зобов’язало федеральні установи виправити її до суботи, 18 липня. Проблема міститься у компоненті File Transmission продукту Oracle Payments у складі Oracle E-Business Suite. Вона дає неавторизованому зловмиснику з мережевим доступом через HTTP можливість скомпрометувати Oracle Payments.
Вразливість має оцінку 9,8 за шкалою CVSS. Oracle випустила виправлення в травневому пакеті Critical Security Patch Update та закликала клієнтів оперативно встановити його й залишатися на версіях із чинною підтримкою. За даними компанії Defused, 29 червня її пастки для атак зафіксували експлуатацію CVE-2026-46817, хоча на той момент не існувало публічного демонстраційного коду. Саме підтверджена експлуатація перетворила звичайну рекомендацію з оновлення на термінову вимогу для американських держорганів.
Масштаб відкритої поверхні атаки
Shadowserver відстежує понад тисячу інсталяцій Oracle EBS, доступних з інтернету; більш як половина розташована у США. Ця кількість не показує, скільки систем уже захищено або є пастками, але вказує на значну потенційну поверхню атаки. Технічно проблема особливо небезпечна через поєднання віддаленого доступу, відсутності автентифікації та низької складності атаки.
CISA називає подібні вразливості частим початковим вектором для шкідливих операторів і ризиком для федеральних мереж. Це не перший активний інцидент навколо продуктів Oracle: у каталозі агентства вже є десятки проблем різних продуктів компанії, 12 із яких також використовували оператори програм-вимагачів. Для організацій поза федеральним урядом крайній термін CISA юридично не обов’язковий, однак наявність активних атак і готового патча робить оновлення тим самим практичним пріоритетом.