Según Defused Cyber, una falla de seguridad crítica que afecta a Oracle E-Business Suite ha sido explotada activamente en la naturaleza.
La vulnerabilidad, rastreada como CVE-2026-46817 (Puntuación CVSS: 9,8), se refiere a una falla de autenticación y gestión de privilegios inadecuada en Oracle Payments de la que se podría abusar para hacerse cargo de instancias susceptibles.
“Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de HTTP comprometer Oracle Payments”, según una descripción de la falla en la Base de datos nacional de vulnerabilidad (NVD) del NIST. “Los ataques exitosos a esta vulnerabilidad pueden resultar en la adquisición de Oracle Payments”.
La deficiencia afecta a las versiones desde la 12.2.3 hasta la 12.2.15. Oracle envió parches para la falla como parte de su Actualización de parches de seguridad críticos el mes pasado.
Desde entonces, CVE-2026-46817 ha estado bajo explotación activa, y Defused Cyber señaló el lunes que “durante el fin de semana, observamos a un actor explotando la vulnerabilidad en nuestros honeypots de Oracle E-Business”, y agregó que “esta vulnerabilidad no tiene ninguna explotación previa conocida y no existe ningún código PoC (prueba de concepto) público”.
Dicho esto, actualmente no hay detalles disponibles sobre cómo se está explotando la falla de seguridad, quién está detrás de ella y si es parte de una campaña oportunista o dirigida más amplia dirigida a sistemas sin parches.
A fines del año pasado, actores de amenazas vinculados a la operación de ransomware Cl0p utilizaron otra falla crítica en el mismo producto (CVE-2025-61882, puntuación CVSS: 9.8), y los primeros ataques se lanzaron ya en agosto de 2025.
A principios de este mes, la compañía abordó una vulnerabilidad crítica de día cero de autenticación faltante en PeopleSoft Suite (CVE-2026-35273, puntuación CVSS: 9.8) que fue explotada activamente en ataques de extorsión y robo de datos de ShinyHunters.
Desde entonces, el fabricante de automóviles Nissan ha reconocido que estaba entre los afectados, afirmando que fue víctima de un robo que implicó la explotación de la falla de PeopleSoft, exponiendo potencialmente registros de nómina, datos bancarios, números de Seguro Social y otros datos personales y financieros que pertenecen a sus empleados en los EE. UU., Canadá, México y Brasil.
“Lo que destacó fue que CVE-2026-35273 no es simplemente otra vulnerabilidad trivial y fácil de explotar de una sola solicitud”, dijo en un comunicado Jake Knott, investigador principal de seguridad de watchTowr. “La cadena de ataque es considerablemente más complicada, ya que combina múltiples vulnerabilidades para colocar un archivo malicioso que no se ejecuta inmediatamente sino que espera hasta que el servidor se reinicie”.
“Donde normalmente veríamos errores simples, se trata de una cadena de múltiples vulnerabilidades, lo que sugiere un actor de amenazas con conocimiento y familiaridad genuinos con el código base subyacente, y la capacidad de desarrollar capacidades específicas contra él”.
Knott también señaló que los actores de amenazas están explotando las vulnerabilidades más rápido que nunca, instando a las organizaciones a asumir compromisos y activar procesos de respuesta a incidentes para determinar si se obtuvo acceso antes de que se aplicaran los parches, a qué se accedió y si se estableció la persistencia.