В конце апреля 2026 года корпорация Oracle выпустила внеочередное обновление безопасности, закрывшее критическую уязвимость в своей системе автоматизации деятельности предприятия E-Business Suite. Проблема, получившая идентификатор CVE-2026-34275, была внесена в российский Банк данных угроз безопасности информации (BDU) под номером BDU:2026-08615. Её базовый рейтинг по шкале CVSS 3.1 составил 9,8 балла из 10. Это означает, что злоумышленник может эксплуатировать данную ошибку без каких-либо специальных привилегий и с минимальными усилиями.
Детали уязвимости
Суть обнаруженного дефекта заключается в том, что один из компонентов пакета - Setup and Administration (модуль настройки и управления) и сопутствующий ему продукт Advanced Outbound Telephony - не выполняет аутентификацию для критически важной функции. Простыми словами, система не проверяет, кто именно и с какими правами пытается выполнить определённые действия. Нарушителю, действующему удалённо через интернет, достаточно отправить обычный HTTP-запрос, чтобы получить возможность влиять на конфиденциальность, целостность и доступность защищаемой информации.
Уязвимость затрагивает довольно широкий спектр версий. В зоне риска находятся все инсталляции Oracle E-Business Suite, начиная с версии 12.2.3 и заканчивая версией 12.2.15 включительно. Согласно заявлению производителя, проблема подтверждена, а её устранение возможно только путём обновления программного обеспечения до актуальных релизов с установкой апрельского критического патча (Critical Patch Update). Ссылка на рекомендации уже опубликована на официальном сайте Oracle.
Теперь разберёмся, что означает эта техническая деталь для обычных компаний. E-Business Suite - это не просто учётная система. Это платформа, на которой держатся процессы управления финансами, цепочками поставок, закупками, персоналом и взаимодействием с клиентами. Если злоумышленник получает возможность манипулировать её настройками без аутентификации, он буквально оказывается "внутри" корпоративной сети со всеми вытекающими последствиями. Он может изменить конфигурацию системы, внедрить вредоносный код, выгрузить базы данных с персональными данными сотрудников или контрагентов, а также нарушить работу критических бизнес-процессов.
Примечательно, что оценка уязвимости по старой версии стандарта CVSS 2.0 достигает максимальных 10 баллов, что бывает крайне редко. Эксперты связывают это с тем, что атака не требует сложной цепочки шагов. Нарушителю нужен лишь сетевой доступ к серверу, на котором развёрнута система. Никакой аутентификации, никаких дополнительных условий. Вектор атаки обозначен как AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. Если перевести на обычный язык: уязвимость эксплуатируется удалённо, сложность атаки низкая, привилегии не требуются, вмешательство пользователя не нужно, а последствия для конфиденциальности, целостности и доступности высоки.
Компаниям, использующим Oracle E-Business Suite, стоит отнестись к этому предупреждению с максимальной серьёзностью. Дело не только в формальном соответствии базам данных уязвимостей. Практика показывает, что подобные "дыры" в корпоративных ERP-системах (системах планирования ресурсов предприятия) моментально становятся целью для программ-вымогателей и АРТ-групп (Advanced Persistent Threat). Зачастую злоумышленники сканируют интернет в поисках незакрытых портов и уязвимых панелей администрирования. Отсутствие аутентификации для критичной функции - это как входная дверь, которая никогда не запирается.
На момент написания статьи данные о существовании готового эксплойта уточняются. Однако сам факт того, что ошибка зафиксирована производителем в свежем обновлении, указывает на то, что она была обнаружена либо внутренними тестировщиками, либо сторонними исследователями безопасности. В любом случае, риск велик.
Что делать компаниям в данной ситуации? Первым делом необходимо сверить версию установленного Oracle E-Business Suite. Если она попадает в диапазон от 12.2.3 до 12.2.15, следует немедленно запланировать установку апрельского обновления безопасности на ближайшее окно обслуживания. Промедление здесь может стоить безопасности всей корпоративной системы. Кроме того, стоит временно ограничить доступ к интерфейсам администрирования из внешних сетей, если это возможно без остановки бизнес-процессов. Сегментирование сети и настройка межсетевых экранов могут снизить поверхность атаки до момента установки патча.
В целом, данный инцидент лишний раз напоминает о том, что даже крупные поставщики корпоративного программного обеспечения допускают фундаментальные ошибки архитектуры. Уязвимость CWE-306 (отсутствие аутентификации для критичной функции) теоретически должна отсекаться на этапе проектирования. Но, как показывает практика, ни один код не застрахован от таких пропусков. Поэтому регулярное обновление систем и мониторинг баз данных угроз остаются единственной надёжной защитой в современном мире киберугроз.
Ссылки
- https://bdu.fstec.ru/vul/2026-08615
- https://www.cve.org/CVERecord?id=CVE-2026-34275
- https://www.oracle.com/security-alerts/cpuapr2026.html