CISA orders feds to patch actively exploited Oracle flaw by Saturday

1 minute de lecture

Mis à jour :

Urgence cybersécurité : La CISA ordonne le colmatage d’une faille critique dans Oracle EBS

La CISA a émis une injonction contraignant les agences fédérales américaines à sécuriser leurs systèmes contre une vulnérabilité critique activement exploitée dans Oracle E-Business Suite (EBS), avec une date limite fixée au samedi 18 juillet.

Points clés :

  • Menace active : Des cyberattaquants exploitent activement cette faille pour prendre le contrôle des systèmes ciblés via le composant Oracle Payments.
  • Exposition massive : Shadowserver identifie plus de 1 000 instances d’Oracle EBS exposées sur Internet, dont plus de la moitié se trouve aux États-Unis.
  • Injonction fédérale : La CISA a ajouté cette vulnérabilité à son catalogue des vulnérabilités exploitées connues (KEV), imposant une mise à jour immédiate aux agences fédérales conformément à la directive BOD 26-04.

Vulnérabilité :

  • CVE-2026-46817 : Faille critique (score CVSS 9.8) permettant à un attaquant non authentifié, disposant d’un accès réseau HTTP, de compromettre et de prendre le contrôle total du module Oracle Payments via une gestion inappropriée des privilèges.

Recommandations :

  • Appliquer les correctifs : Installer immédiatement la mise à jour de sécurité de mai 2026 fournie par Oracle.
  • Maintenir les versions : Oracle insiste sur l’importance d’utiliser des versions logicielles activement supportées pour bénéficier des correctifs de sécurité.
  • Audit d’exposition : Identifier et restreindre l’accès Internet aux instances EBS non nécessaires pour limiter la surface d’attaque.

Source