
Oracle E-Business Suite 缺陷 CVE-2026-46817 正在被实战利用
Defused Cyber 指出,影响 Oracle E-Business Suite 的高危漏洞 CVE-2026-46817 已在野外被主动利用,攻击者可经 HTTP 在未认证情况下接管 Oracle Payments。Oracle 另有相关漏洞也曾被武器化。
根据 Defused Cyber 的说法,一个影响 Oracle E-Business Suite 的严重安全缺陷已在野外被主动利用。
这个漏洞被追踪为 CVE-2026-46817(CVSS score: 9.8),指的是 Oracle Payments 中一个不当权限管理和认证缺陷,可能被滥用于接管易受攻击的实例。
NIST National Vulnerability Database (NVD) 对该缺陷的描述指出:“一个容易被利用的漏洞允许具有网络访问权限的未认证攻击者通过 HTTP 侵入 Oracle Payments。”“成功利用此漏洞可导致 Oracle Payments 被接管。”
这个缺陷影响从 12.2.3 到 12.2.15 的版本。Oracle 已在上个月作为其 Critical Security Patch Update 的一部分发布了该缺陷的补丁。
此后,CVE-2026-46817 已经进入主动利用阶段。Defused Cyber 在周一指出:“在过去周末,我们观察到一个攻击者在我们的 Oracle E-Business honeypots 上利用该漏洞,”并补充说,“这个漏洞此前没有已知的利用记录,也不存在公开的 PoC [proof-of-concept] 代码。”
话虽如此,目前还没有可用细节说明该安全缺陷是如何被利用的、幕后是谁,以及这是否属于针对未打补丁系统的更广泛机会型或定向行动的一部分。
去年年底,同一产品中的另一个严重缺陷(CVE-2025-61882,CVSS score: 9.8)被与 Cl0p ransomware operation 相关的威胁行为者武器化,早在 2025 年 8 月就已开始早期攻击。
本月早些时候,该公司修复了 PeopleSoft Suite 中一个严重的缺失认证 zero-day 漏洞(CVE-2026-35273,CVSS score: 9.8),该漏洞已在 ShinyHunters(又名 SHADOW-AETHER-015)的数据窃取和勒索攻击中被主动利用。
Trend Micro 表示:“这个漏洞的显著特性不在于它的影响,而在于它几乎完全不可观测。”“最终的代码执行步骤通过应用程序服务器自身 Java virtual machine (JVM) 中的 Java XMLDecoder 运行,在重启时而不是在入站请求时触发,而且成功不需要子进程,也不需要任何出站 beacon。防御者在通常关注的地方看到的是一个安静的系统。”
汽车制造商 Nissan 此后也承认自己是受影响方之一,称其遭到一次入侵,而这次入侵涉及 PeopleSoft 漏洞的利用,可能暴露其在美国、加拿大、墨西哥和巴西员工的 payroll records、bank details、Social Security numbers,以及其他个人和财务数据。
watchTowr principal security researcher Jake Knott 在一份声明中说:“特别之处不在于 CVE-2026-35273 只是另一个平庸、容易利用的单请求漏洞。”“这条攻击链复杂得多,结合了多个漏洞来植入一个恶意文件,该文件不会立即执行,而是会等到服务器重启时才执行。”
“如果我们平时看到的是简单 bug,这次却是一个多漏洞链,暗示攻击者对底层 codebase 具有真正的了解和熟悉程度,并且有能力针对它开发定制化能力。”
Knott 也指出,威胁行为者利用漏洞的速度比以往更快,敦促组织假设已经被入侵,并启动 incident response 流程,以确认在补丁应用之前是否已被取得访问权限、访问了什么,以及是否已建立 persistence。