Oracle corrige centenas de falhas no primeiro CPU de 2026

A Oracle disponibilizou o seu primeiro Critical Patch Update (CPU) de 2026 com a introdução de 337 correções de segurança que abrangem mais de 30 produtos do seu portfólio. O pacote resolve cerca de 230 vulnerabilidades únicas (CVE), incluindo mais de duas dezenas classificadas como críticas.

De acordo com a empresa, mais de 235 das falhas corrigidas podem ser exploradas remotamente sem necessidade de autenticação, o que aumenta significativamente o risco para organizações que ainda não aplicaram as atualizações. Entre as vulnerabilidades mais graves está a CVE-2025-66516, com uma pontuação máxima de 10 em 10 no CVSS, que afeta o Apache Tika e pode ser explorada através de ataques de XML External Entity (XXE) ao usar ficheiros PDF manipulados.

Esta vulnerabilidade impacta três módulos do Apache Tika e levou à aplicação de correções em vários produtos Oracle, incluindo Commerce, Communications, Construction and Engineering, Fusion Middleware e PeopleSoft.

Tal como em atualizações anteriores, a área de Oracle Communications concentrou o maior número de correções, com 56 patches, dos quais 34 resolvem falhas exploráveis remotamente sem autenticação. Segue-se o Fusion Middleware, com 51 correções, incluindo 47 para vulnerabilidades com exploração remota, e as Financial Services Applications, que receberam 38 patches.

Outros produtos com atualizações relevantes incluem MySQL (vinte correções), Siebel CRM, Retail Applications e Virtualization, cada um com 14 patches, embora com níveis de exposição distintos. Também foram lançadas correções para Java SE, PeopleSoft, Hyperion e Supply Chain, entre outros.

Para além deste CPU, a Oracle publicou ainda um boletim de segurança separado com 14 novas correções para o sistema operativo Oracle Solaris, das quais onze dizem respeito a falhas exploráveis remotamente sem autenticação.

A Oracle recomenda que as organizações avaliem o impacto das vulnerabilidades nos seus ambientes e apliquem as atualizações com a maior brevidade possível, de forma a reduzir a superfície de ataque e mitigar riscos de exploração ativa.