В Банке данных угроз безопасности информации (BDU) были зарегистрированы сразу четыре уязвимости, затрагивающие ключевые продукты Oracle из линейки WebCenter. Речь идёт о системах управления контентом и порталами, которые широко используются в крупных корпорациях и государственных учреждениях. Все четыре уязвимости имеют максимальный уровень опасности: базовый балл по шкале CVSS версии 3.1 составляет 10 из 10. Причина одна и та же - отсутствие аутентификации для критической функции. Иными словами, злоумышленник может получить полный доступ к уязвимому приложению, не вводя никаких учётных данных. Это позволяет ему украсть конфиденциальные документы, изменить содержимое портала или вывести систему из строя.
Детали уязвимостей
Первая уязвимость получила идентификатор BDU:2026-08621 (CVE-2026-46800). Она обнаружена в компоненте WebCenter Sites - модуле для создания и управления информационными сайтами, которые обслуживают пользователей в интернете. Нарушитель, действующий удалённо, может без каких-либо прав произвести операции, влияющие на конфиденциальность, целостность и доступность защищаемой информации. Под ударом находятся версии 12.2.1.4.0 и 14.1.2.0.0.
Вторая уязвимость - BDU:2026-08624 (CVE-2026-46781) касается компонента Client Bundle продуктового комплекса Oracle WebCenter Enterprise Capture. Этот продукт предназначен для захвата и обработки корпоративного контента, например сканов документов, счетов, договоров. Ошибка также класса CWE-306 (отсутствие аутентификации для критичной функции) позволяет удалённо воздействовать на систему без предварительной проверки подлинности. Риск особенно высок, если платформа интегрирована с другими внутренними сервисами - тогда атакующий может проникнуть глубже в инфраструктуру.
Третья уязвимость (BDU:2026-08629, CVE-2026-46798) дублирует по описанию первую - снова WebCenter Sites. Возможно, речь идёт о другом месте кода, где отсутствует проверка доступа. На данный момент точных технических деталей в открытых источниках нет, но производитель уже подтвердил обе проблемы.
Четвёртая уязвимость (BDU:2026-08657, CVE-2026-46846) затрагивает компонент Security Framework веб-платформы Oracle WebCenter Portal. Это система для создания корпоративных порталов - единых точек входа для сотрудников, партнёров и клиентов. Уязвимость позволяет нарушителю, действующему удалённо, получить полный контроль над приложением. Опять же, никакой аутентификации не требуется.
Все четыре ошибки относятся к одному типу - CWE-306. В переводе на простой язык это означает, что разработчики забыли поставить "шлагбаум" на пути к критическим функциям системы. В нормальной ситуации для выполнения административных действий нужен логин и пароль или сертификат. Здесь же любой, кто знает сетевой адрес сервера, может отправить специально сформированный запрос и выполнить команды с максимальными привилегиями. Вектор атаки - сетевой, сложность низкая, и для эксплуатации не требуется никаких предварительных условий. Именно поэтому балл по CVSS 3.1 достигает максимума.
Важно понимать, что Oracle WebCenter - не программное обеспечение для домашнего использования. Это платформы enterprise-класса, которые стоят в дата-центрах крупных банков, телеком-операторов, промышленных холдингов и госорганов. Через WebCenter Portal нередко проходит управление доступом к критическим бизнес-приложениям, а в WebCenter Sites могут храниться конфиденциальные данные клиентов или внутренняя документация. Утечка такой информации способна привести к серьёзным финансовым потерям и репутационным рискам.
Производитель - корпорация Oracle - уже выпустила обновления, закрывающие эти уязвимости. Ссылка на бюллетень безопасности доступна на официальном сайте. Специалистам по информационной безопасности стоит немедленно проверить, какие версии продуктов Oracle WebCenter используются в их инфраструктуре. Под удар попадают версии 12.2.1.4.0 и 14.1.2.0.0. Рекомендуется установить критические исправления из июньского набора обновлений Oracle Critical Patch Update. Если по каким-то причинам обновление невозможно, следует временно ограничить доступ к веб-интерфейсам этих продуктов только из доверенных сетей (например, через VPN или списки контроля доступа). Также стоит усилить мониторинг логов на предмет подозрительных запросов, которые пытаются обратиться к недокументированным конечным точкам без аутентификации.
В заключение стоит подчеркнуть, что подобные уязвимости - настоящая находка для злоумышленников, так как не требуют от них ни подбора паролей, ни эксплуатации сложных цепочек ошибок. Достаточно одного правильно составленного HTTP-запроса, чтобы получить полный контроль над системой. Поэтому медлить с установкой патчей нельзя. Oracle уже опубликовал ссылку на страницу с исправлениями, и любой ответственный администратор должен воспользоваться ею незамедлительно. Бездействие может привести к тому, что данные организации окажутся скомпрометированы, а бизнес-процессы - парализованы.
Ссылки
- https://bdu.fstec.ru/vul/2026-08621
- https://bdu.fstec.ru/vul/2026-08624
- https://bdu.fstec.ru/vul/2026-08629
- https://bdu.fstec.ru/vul/2026-08657
- https://www.cve.org/CVERecord?id=CVE-2026-46800
- https://www.cve.org/CVERecord?id=CVE-2026-46781
- https://www.cve.org/CVERecord?id=CVE-2026-46798
- https://www.cve.org/CVERecord?id=CVE-2026-46846
- https://www.oracle.com/security-alerts/cspujun2026.html
