Корпорация Oracle выпустила очередной критический набор исправлений безопасности (Critical Security Patch Update), закрывающий сразу несколько опасных уязвимостей в Oracle Database Server и Oracle REST Data Services. В довершение к этому специалисты обнаружили отдельную проблему в компоненте Eclipse Jetty, для которой на данный момент не существует ни патча, ни временных мер защиты. Совокупность этих дефектов создаёт серьёзную угрозу для организаций, использующих серверы баз данных и REST-интерфейсы корпоративного уровня, поскольку некоторые из них позволяют неавторизованному злоумышленнику полностью захватить сервис или вызвать его отказ в обслуживании.
Детали уязвимостей
Наиболее тревожная ситуация сложилась вокруг Oracle REST Data Services - вспомогательного инструмента, который обеспечивает взаимодействие с базой данных через REST-протокол. По данным CVE (Common Vulnerabilities and Exposures - общепринятый реестр уязвимостей), сразу несколько дефектов в этом продукте получили максимальные оценки по шкале CVSS (Common Vulnerability Scoring System - общая система оценки уязвимостей). Среди них выделяется CVE-2026-46840, рейтинг которой составляет 10,0 - максимально возможное значение. Эта уязвимость затрагивает компонент Backend-as-a-Service и позволяет неавторизованному злоумышленнику, имеющему доступ к сети через HTTPS, полностью перехватить управление всеми затронутыми системами. Причём атака не требует никаких привилегий и взаимодействия с пользователем, что делает её особенно опасной для облачных сред и публичных API.
Кроме того, две другие критические уязвимости - CVE-2026-46775 и CVE-2026-46839 - также получили оценку 9,9 по версии CVSS 3.1. Они связаны с основным ядром Oracle REST Data Services. Для их эксплуатации злоумышленнику нужны лишь низкие привилегии и доступ по HTTPS, после чего он может выполнить произвольные действия в контексте сервиса, включая чтение, изменение и удаление любых данных, а также полное отключение системы. Примечательно, что эти атаки способны существенно повлиять и на смежные продукты (scope change), что расширяет границы потенциального ущерба. Ещё один дефект, CVE-2026-35277, при рейтинге 8,1 позволяет тому же классу атакующих получить несанкционированный доступ к конфиденциальным данным и модифицировать их, хотя и без полного захвата.
Однако не все проблемы в Oracle REST Data Services требуют высокой квалификации нападающего. Существует целый ряд уязвимостей, которые может эксплуатировать любой неавторизованный пользователь с доступом по HTTPS. Например, CVE-2026-46829 (оценка 7,5) даёт возможность вызвать полный отказ в обслуживании, приведя сервис в состояние зависания или многократного сбоя. Другие дефекты с более низкими баллами (5,3) позволяют неавторизованному злоумышленнику читать ограниченный объём данных, изменять или удалять записи, а также вызывать частичный отказ в обслуживании.
Перейдём к Oracle Database Server. Здесь основная угроза исходит от уязвимости CVE-2026-46833 в компоненте Net Service. Её рейтинг - 9,0 по версии CVSS 3.1. Для эксплуатации злоумышленнику нужен доступ по протоколу TLS и высокая сложность атаки. Однако в случае успеха он может полностью захватить контроль над компонентом, что отразится на конфиденциальности, целостности и доступности данных. Интересно, что эта уязвимость также приводит к изменению области действия - атака может затронуть и другие продукты, работающие с сетевым сервисом. Дополнительно Oracle закрыл ещё две аналогичные проблемы в том же компоненте (CVE-2026-46834 и CVE-2026-46835) с оценкой 7,5 - они позволяют неавторизованному злоумышленнику вызывать полный отказ в обслуживании, используя обычное TLS-соединение.
Отдельного внимания заслуживает уязвимость CVE-2026-2332, обнаруженная в библиотеке Eclipse Jetty, которая широко используется в Java-приложениях и часто встроена в продукты Oracle. Она относится к классу "контрабанда HTTP-запросов" (HTTP Request Smuggling). Суть проблемы заключается в некорректной обработке HTTP/1.1 парсером фрагментов с расширениями chunked transfer encoding (кодирование передачи фрагментами). Злоумышленник может отправить специально оформленный запрос, в котором кавычки внутри расширения не закрываются, что позволяет "протащить" вредоносный запрос внутри легитимного трафика. Это может привести к отравлению кэша, угону сессий и другим атакам, связанным с неправильной маршрутизацией. Оценка этой уязвимости - 7,4 по CVSS 3.1 (высокая), но главная проблема в том, что, по заявлению Oracle, на данный момент для Eclipse Jetty нет доступного патча или временных мер защиты. Компания лишь рекомендует следить за обновлениями проекта Jetty.
Согласно официальному документу Oracle, все перечисленные патчи для Oracle Database Server и Oracle REST Data Services уже доступны для загрузки. Они затрагивают версии Oracle Database Server 23.4.0-23.26.2 и Oracle REST Data Services 24.2.0-26.1.0. Владельцам таких систем настоятельно рекомендуется как можно скорее установить обновления, чтобы минимизировать риски. Особенно это касается организаций, которые предоставляют публичный доступ к REST-сервисам или используют базы данных в облачных средах. Что касается проблемы с Eclipse Jetty, администраторам следует временно ограничить доступ к компонентам, использующим эту библиотеку, и внимательно следить за информацией о будущих исправлениях.
В итоге совокупность закрытых на этот раз уязвимостей представляет собой серьёзный вызов для служб информационной безопасности. Наличие критических дефектов, не требующих аутентификации, и не имеющей патча проблемы в Jetty требуют комплексного подхода к защите. Прежде всего стоит провести инвентаризацию всех версий Oracle Database Server и REST Data Services в своей инфраструктуре и применить патчи. Кроме того, необходимо рассмотреть возможность включения веб-приложений, работающих через Jetty, в усиленный режим мониторинга трафика на предмет аномалий, характерных для контрабанды запросов. Обычные средства защиты, такие как межсетевые экраны и системы обнаружения вторжений (IDS - Intrusion Detection System), могут не распознать атаки данного типа без дополнительных правил. Поэтому важно как можно быстрее внести соответствующие изменения в политики безопасности и информировать всех ответственных специалистов о новых угрозах.
Ссылки
- https://www.oracle.com/security-alerts/cspumay2026.html
- https://www.cve.org/CVERecord?id=CVE-2026-46843
- https://www.cve.org/CVERecord?id=CVE-2026-46842
- https://www.cve.org/CVERecord?id=CVE-2026-46841
- https://www.cve.org/CVERecord?id=CVE-2026-46840
- https://www.cve.org/CVERecord?id=CVE-2026-46839
- https://www.cve.org/CVERecord?id=CVE-2026-46835
- https://www.cve.org/CVERecord?id=CVE-2026-46834
- https://www.cve.org/CVERecord?id=CVE-2026-46833
- https://www.cve.org/CVERecord?id=CVE-2026-46830
- https://www.cve.org/CVERecord?id=CVE-2026-46829
- https://www.cve.org/CVERecord?id=CVE-2026-46775
- https://www.cve.org/CVERecord?id=CVE-2026-35277
- https://www.cve.org/CVERecord?id=CVE-2026-35266
- https://www.cve.org/CVERecord?id=CVE-2026-2332
