Threats
O CNCS alertou para uma vulnerabilidade crítica no Oracle Payments que pode permitir a tomada de controlo remoto de sistemas sem autenticação. O alerta foi emitido pela equipa do CERT.PT
01/07/2026
|
O Centro Nacional de Cibersegurança (CNCS) lançou um alerta para uma vulnerabilidade crítica que afeta o Oracle Payments, componente da Oracle E-Business Suite (EBS). O alerta, emitido pela equipa do CERT.PT, recomenda às organizações a aplicação imediata das atualizações de segurança disponibilizadas pela Oracle para mitigar o risco de exploração da falha. Identificada como CVE-2026-46817, a vulnerabilidade apresenta uma classificação CVSS de 9,8 e afeta o componente File Transmission do Oracle Payments. Segundo o alerta, um atacante sem autenticação e com acesso à rede através de HTTP pode explorar a falha para comprometer a confidencialidade, integridade e disponibilidade dos sistemas afetados. O CERT.PT alerta que a vulnerabilidade afeta as versões 12.2.3 a 12.2.15 da Oracle E-Business Suite e recomenda que as organizações confirmem se utilizam versões vulneráveis, aplicando de imediato as atualizações disponibilizadas pela Oracle. O alerta nacional surge numa altura em que investigadores da empresa de inteligência de ameaças Defused confirmaram a exploração ativa da vulnerabilidade. A empresa revelou ter observado tentativas de ataque contra sistemas Oracle E-Business durante o último fim de semana, apesar de não existir, até ao momento, código público de exploração para esta falha. A Oracle disponibilizou a correção para a CVE-2026-46817 na atualização crítica de segurança de maio de 2026 e tem vindo a recomendar aos clientes a aplicação imediata dos patches. A empresa alerta que vários ataques bem-sucedidos exploram vulnerabilidades para as quais já existem atualizações de segurança, mas que permanecem por aplicar nos sistemas afetados. |