Hackers now exploit critical Oracle E-Business flaw in attacks

Exploitation active de la faille critique dans Oracle E-Business Suite

Des cyberattaquants exploitent activement une vulnérabilité critique au sein de l’application financière Oracle E-Business Suite (EBS), exposant de nombreux systèmes non mis à jour.

Points clés :

• Vulnérabilité : Faille située dans le composant File Transmission du produit Oracle Payments.
• Impact : Permet à un attaquant non authentifié, disposant d’un accès HTTP, de prendre le contrôle total des systèmes affectés via une attaque de faible complexité.
• Contexte : Bien qu’Oracle ait publié un correctif en mai 2026, des experts en sécurité ont observé des tentatives d’exploitation réelles sur des “honeypots” (pots de miel) dès le week-end dernier.
• Exposition : Plus de 450 instances d’Oracle EBS sont actuellement accessibles via Internet, dont près de 200 situées aux États-Unis et en Europe.

Vulnérabilité identifiée :

• CVE-2026-46817 : Score CVSS de 9.8.

Recommandations :

• Application immédiate des correctifs : Il est impératif d’installer les mises à jour de sécurité fournies par Oracle dans le cadre du “May 2026 Critical Security Patch Update”.
• Maintien à jour : Oracle souligne que de nombreuses attaques réussies découlent du retard des clients à appliquer les correctifs disponibles.
• Réduction de la surface d’attaque : Limiter l’exposition des instances Oracle EBS sur Internet afin de réduire les risques d’accès non autorisés.

Source