Oracle E-Business Suite attaqué via une faille critique avant la diffusion de l’exploit

Des attaquants ont été pris en train d’exploiter une vulnérabilité critique dans Oracle E-Business Suite seulement six semaines après la publication d’un correctif par Oracle, et avant même la disponibilité d’un code d’exploit public.

La faille, référencée CVE-2026-46817 et dotée d’un score CVSS de 9,8 (critique), réside dans le composant Oracle Payments File Transmission d’Oracle E-Business Suite. Elle permet à des attaquants non authentifiés de lire des fichiers arbitraires sur les serveurs vulnérables. Les versions concernées incluent les releases 12.2.3 à 12.2.15.

Selon la société de sécurité Defused, l’exploitation ne ressemblait pas à un balayage internet indiscriminé. Ses honeypots ont enregistré seulement six tentatives d’exploitation provenant d’une seule source, toutes utilisant ce qui semblait être un exploit fonctionnel. Les requêtes cherchaient à récupérer des fichiers sensibles sur le système cible, suggérant que l’opérateur testait ou validait la technique.

Le fait que l’exploitation ait commencé avant la diffusion de tout code d’exploit public indique un attaquant qui avait soit rétro-conçu le correctif d’Oracle, soit obtenu un exploit privé. Il s’agit d’un schéma de plus en plus courant : les mises à jour de sécurité critiques peuvent servir de feuilles de route pour des attaquants prêts à analyser le correctif et à construire un exploit avant que les clients ne l’aient déployé.

Oracle a corrigé la vulnérabilité dans son Critical Patch Update (CPU) de mai 2026. La fondation Shadowserver estime qu’environ 950 instances d’Oracle E-Business Suite restent exposées sur l’internet public, dont la majorité aux États-Unis.

L’incident suit un schéma similaire observé plus tôt en juin, lorsqu’un zero-day PeopleSoft a été exploité avant un déploiement généralisé des correctifs, le groupe ShinyHunters revendiquant plus de 100 organisations compromises.

Sources : Oracle E-Business Suite was under attack via critical flaw before public exploit code was even released (The Register, 2 juillet 2026)

Traduit par Lydie

Scroll to Top