В Банке данных угроз безопасности информации (BDU) были зарегистрированы две крайне опасные уязвимости, затрагивающие продукты Oracle для управления корпоративным контентом и веб-порталами. Речь идёт о программных комплексах Oracle WebCenter Enterprise Capture и Oracle WebCenter Portal. Учитывая, что эти решения широко применяются в крупных организациях для хранения конфиденциальной документации и построения внутренних веб-интерфейсов, новость вызвала серьёзную обеспокоенность среди специалистов по кибербезопасности.
Детали уязвимостей
Суть проблемы одинакова для обоих случаев: в компонентах Client Bundle и Security Framework обнаружено отсутствие аутентификации для критичной функции. Эта ошибка классифицируется как CWE-306. Простыми словами, злоумышленник может обратиться к определённым серверным возможностям без ввода логина и пароля. Более того, атака возможна удалённо, без каких-либо привилегий и без участия жертвы. Вектор атаки по шкале CVSS 3.1 получил максимальный балл - 10. Это означает, что любое промедление с установкой обновлений чревато самыми тяжёлыми последствиями.
Первая из зарегистрированных уязвимостей (BDU:2026-08700, CVE-2026-46778) присутствует в Oracle WebCenter Enterprise Capture, версии 12.2.1.4.0 и 14.1.2.0.0. Этот продукт предназначен для захвата, распознавания и индексации бумажных документов, поступающих в организацию. Если атакующий получит полный контроль над системой, он сможет не только просматривать все вводимые данные, но и манипулировать процессами, подменять отсканированные образы или останавливать обработку документов. Для бизнеса, особенно в банковской сфере или госорганах, такой сценарий грозит материальными потерями и утечкой критически важной информации.
Вторая уязвимость (BDU:2026-08710, CVE-2026-46803) затрагивает Oracle WebCenter Portal тех же версий - 12.2.1.4.0 и 14.1.2.0.0. Портальные решения отвечают за создание единой точки доступа к корпоративным приложениям, базам знаний и отчетам. Компонент Security Framework в данном случае оказался не защищён должным образом: удалённый злоумышленник может повлиять на конфиденциальность, целостность и доступность защищаемой информации. То есть он способен как украсть данные, так и изменить их или сделать портал полностью недоступным для сотрудников. Учитывая, что в современных компаниях именно порталы служат основным интерфейсом для работы, последствия атаки могут парализовать деятельность целых отделов.
Важно подчеркнуть, что обе уязвимости имеют архитектурный характер: проблема заложена не в случайной ошибке кода, а в логике построения системы. Именно поэтому оценка по шкале CVSS v3.1 составила максимальные 10 баллов. Этот максимум присваивается только тогда, когда атакующему не требуется ничего, кроме доступа к сети. Ему не нужно знать пароль, не нужно обманывать пользователя и даже не нужно иметь локальный вход. Сетевой вектор, низкая сложность эксплуатации и постоянное воздействие на все три свойства безопасности - конфиденциальность, целостность и доступность - делают эти дефекты практически идеальным инструментом для киберпреступника.
На данный момент производитель, корпорация Oracle, уже подтвердил существование проблем и выпустил официальное предупреждение в своём бюллетене безопасности (Critical Patch Update за июнь 2026 года). В том же бюллетене опубликованы исправления. Уязвимости считаются устранёнными, но только при условии установки соответствующего патча. В отличие от некоторых предыдущих случаев, на этот раз Oracle не сообщает о наличии готового эксплойта, однако это не должно успокаивать. Отсутствие публичного инструмента для атаки не означает, что её невозможно провести. Злоумышленники вполне могут разработать эксплойт самостоятельно, опираясь на опубликованные технические детали.
Что же делать специалистам по безопасности в этой ситуации? Прежде всего - не откладывать установку обновлений. Ссылка на страницу с исправлениями приведена в уведомлении производителя. Необходимо проверить версии используемых продуктов Oracle WebCenter. Если в организации развёрнута версия 12.2.1.4.0 или 14.1.2.0.0, она находится под угрозой. Желательно также временно ограничить доступ к этим системам из внешних сетей через межсетевые экраны, пока патч не будет установлен. Однако помните: даже внутренние нарушители могут воспользоваться уязвимостью, если у них есть доступ к сети предприятия.
Дополнительно стоит обратить внимание на то, что уязвимости затронули обе основные ветки продукта. Это значит, что миграция на другую версию в рамках той же линейки не является защитой - обе ветки уязвимы. Единственный выход - именно обновление до версий, содержащих исправления, либо временное отключение уязвимых компонентов, если это возможно без критической потери функциональности.
Таким образом, июньское обновление Oracle закрыло собой две критические бреши, способные привести к полному захвату систем управления контентом и порталов. Организациям, использующим Oracle WebCenter Enterprise Capture или Oracle WebCenter Portal, настоятельно рекомендуется немедленно провести аудит и применить патчи. Промедление в данном случае может стоить не только данных, но и репутации компании.
Ссылки
- https://bdu.fstec.ru/vul/2026-08700
- https://bdu.fstec.ru/vul/2026-08710
- https://www.cve.org/CVERecord?id=CVE-2026-46778
- https://www.cve.org/CVERecord?id=CVE-2026-46803
- https://www.oracle.com/security-alerts/cspujun2026.html
