Корпорация Oracle выпустила внеочередной пакет исправлений, закрывающий сразу несколько опасных уязвимостей в ключевых продуктах. Эти проблемы затронули систему управления корпоративной ИТ-инфраструктурой, популярный портальный инструмент и клиентскую утилиту для баз данных. Ситуация осложняется тем, что все три уязвимости получили максимальные оценки по шкале CVSS. Разберёмся, чем это грозит пользователям.
Детали уязвимостей
Первая проблема BDU:2026-08653 (CVE-2026-46852) обнаружена в компоненте Metadata Plugin платформы Oracle Enterprise Manager Base Platform (система для централизованного мониторинга и управления продуктами Oracle). Уязвимость связана с небезопасным управлением привилегиями. Иными словами, злоумышленник может неправомерно расширить свои полномочия внутри системы. Атака происходит удалённо и не требует от нарушителя высокой квалификации. Ему достаточно иметь учётную запись с минимальными правами. После успешной эксплуатации он получает полный контроль над приложением. Под удар попали версии 24.1 и 13.5 этой платформы.
Важно понимать, что Enterprise Manager - это важный центр для тысяч компаний. Через него администраторы управляют базами данных, серверами приложений, хранилищами. Компрометация такого инструмента означает, что злоумышленник может получить доступ к любым управляемым ресурсам. Фактически это ключи от всего парка Oracle.
Не менее серьёзны две уязвимости, о которых сообщается под идентификаторами BDU:2026-08655 (CVE-2026-46844) и BDU:2026-08656(CVE-2026-46838). Они затрагивают уже Oracle WebCenter Portal - платформу для создания корпоративных порталов и сайтов взаимодействия. Ошибка скрывается в компоненте Security Framework и относится к категории неправильного контроля доступа. Как и в предыдущем случае, атака удалённая, не требует сложных действий и позволяет атакующему захватить полный контроль над приложением. Уязвимы версии WebCenter Portal 12.2.1.4.0 и 14.1.2.0.0.
Для многих организаций WebCenter Portal - это лицо компании в цифровом пространстве. Через такие порталы сотрудники работают с документами, клиентами, внутренними сервисами. Потеря контроля над порталом означает не только утечку данных, но и возможность манипулировать информацией, воровать учётные данные или внедрять вредоносный код для пользователей.
Отметим, что обе уязвимости в WebCenter имеют одинаковое описание и тип ошибки, но разные идентификаторы CVE. Это говорит о том, что проблема могла проявляться в разных частях кода или компонентах безопасности. Разработчики выпустили исправления для обеих.
Четвёртая уязвимость - BDU:2026-08595 (CVE-2026-46850) поразила Oracle MySQL Shell. Это современный клиент командной строки и редактор кода для работы с базами данных MySQL. Здесь природа ошибки иная. Речь о неверном управлении генерацией кода. Это классическая уязвимость типа "внедрение кода". Злоумышленник, воспользовавшись дефектом, может удалённо выполнить свой код на целевой системе. Под удар попала версия MySQL Shell 2026.2.0+9.6.1.
MySQL Shell используется разработчиками и администраторами для написания скриптов, администрирования баз данных. Уязвимость позволяет атакующему отправить специально сформированный запрос, который приведёт к выполнению произвольного кода на сервере. Это один из самых опасных сценариев - злоумышленник получает контроль не просто над приложением, а над всей операционной системой.
Базовый вектор всех четырёх уязвимостей по версии CVSS 3.1 составил 9,9 балла из 10 возможных. Это практически максимум. Компоненты AV:N (доступ к сети), AC:L (низкая сложность эксплуатации), PR:L (требуются минимальные привилегии), UI:N (взаимодействие с пользователем не требуется) делают эти уязвимости крайне привлекательными для злоумышленников. Дополнительный множитель S:C (изменяемая область воздействия) означает, что атака может поразить ресурсы за пределами уязвимого компонента.
Пока нет подтверждённых данных о существовании готовых эксплойтов. Разработчик уже выпустил исправления в рамках регулярного обновления безопасности. Компаниям, использующим указанные продукты, настоятельно рекомендуется как можно скорее установить патчи.
Что важно понимать администраторам безопасности? Все три продукта обычно развёрнуты в доверенной среде. Однако уязвимости эксплуатируются удалённо. Это значит, что они могут быть использованы из интернета, если сервисы доступны извне. Даже если сервисы закрыты для внешнего доступа, внутренний нарушитель или скомпрометированная учётная запись могут легко провести атаку.
Также обратим внимание на то, что во всех случаях атакующему требуются минимальные привилегии. То есть он не может быть случайным посетителем сайта. Но если злоумышленник уже получил учётку низкоуровневого сотрудника, эти уязвимости позволяют резко повысить его возможности. Особенно опасно сочетание данных уязвимостей с компрометацией учётных записей через фишинг или кражу паролей.
Для защиты специалистам по информационной безопасности стоит в приоритетном порядке установить заплатки на системы Enterprise Manager, WebCenter Portal и MySQL Shell. До установки обновлений следует ограничить сетевой доступ к этим сервисам, если это возможно. Желательно также провести анализ логов на предмет подозрительной активности, связанной с нарушением авторизации или внедрением кода. Учитывая критичность уязвимостей, промедление может привести к серьёзным последствиям для бизнеса.
Ссылки
- https://bdu.fstec.ru/vul/2026-08653
- https://bdu.fstec.ru/vul/2026-08655
- https://bdu.fstec.ru/vul/2026-08656
- https://bdu.fstec.ru/vul/2026-08595
- https://www.cve.org/CVERecord?id=CVE-2026-46852
- https://www.cve.org/CVERecord?id=CVE-2026-46844
- https://www.cve.org/CVERecord?id=CVE-2026-46838
- https://www.cve.org/CVERecord?id=CVE-2026-46850
- https://www.oracle.com/security-alerts/cspujun2026.html
