
Se detectó a atacantes explotando una vulnerabilidad crítica en Oracle E-Business Suite apenas seis semanas después de que Oracle lanzara un parche, y antes de que estuviera disponible cualquier código de prueba de concepto público.
La falla, identificada como CVE-2026-46817 y con una puntuación CVSS de 9.8 (crítica), reside en el componente Oracle Payments File Transmission de Oracle E-Business Suite. Permite a atacantes no autenticados leer archivos arbitrarios de servidores vulnerables. Las versiones afectadas incluyen los lanzamientos 12.2.3 a 12.2.15.
Según la firma de seguridad Defused, la explotación no se asemejaba a un escaneo indiscriminado de internet. Sus honeypots registraron solo seis intentos de explotación desde una sola fuente, todos utilizando lo que parecía ser un exploit funcional. Las solicitudes buscaban recuperar archivos confidenciales del sistema objetivo, lo que sugiere que el operador estaba probando o validando la técnica.
El hecho de que la explotación comenzara antes de que surgiera cualquier código de explotación público apunta a un atacante que había realizado ingeniería inversa al parche de Oracle u obtenido un exploit privado. Este es un patrón cada vez más común: las actualizaciones críticas de seguridad pueden servir como hojas de ruta para atacantes dispuestos a analizar la corrección y construir un exploit antes de que los clientes lo hayan implementado.
Oracle abordó la vulnerabilidad en su Critical Patch Update (CPU) de mayo de 2026. La Fundación Shadowserver estima que aproximadamente 950 instancias de Oracle E-Business Suite permanecen expuestas en internet público, la mayoría en Estados Unidos.
El incidente sigue un patrón similar observado a principios de junio, cuando un exploit de día cero de PeopleSoft fue explotado antes de la aplicación generalizada de parches, y el grupo ShinyHunters reclamó más de 100 organizaciones comprometidas.
Fuentes: Oracle E-Business Suite was under attack via critical flaw before public exploit code was even released (The Register, 2 de julio de 2026)
Traducido por Alessandra

