Oracle corrige 245 falhas de segurança em atualização mensal

A Oracle disponibilizou a atualização de segurança de junho de 2026, a segunda desde que passou a complementar os tradicionais Critical Patch Updates trimestrais com ciclos mensais destinados a corrigir vulnerabilidades mais críticas, segundo o SecurityWeek.

A atualização inclui 245 correções de segurança que afetam um vasto conjunto de produtos da fabricante, incluindo Oracle Communications, E-Business Suite, Enterprise Manager, Fusion Middleware, JD Edwards, MySQL, PeopleSoft, Siebel CRM, Supply Chain Management, Systems e soluções de virtualização.

Entre as vulnerabilidades corrigidas, cerca de 120 receberam classificação crítica com base na escala CVSS. Segundo a Oracle, aproximadamente cem destas falhas podem ser exploradas remotamente sem necessidade de autenticação.

O Oracle Fusion Middleware concentra uma parte significativa das correções, com mais de uma centena de vulnerabilidades resolvidas, a maioria classificada como crítica ou de elevada severidade.

No aviso publicado pela empresa, a Oracle volta a alertar para os riscos associados à não aplicação atempada das atualizações. “A Oracle continua a receber regularmente relatos de tentativas de exploração maliciosa de vulnerabilidades para as quais já disponibilizou correções de segurança. Em alguns casos, os atacantes tiveram sucesso porque os clientes visados não aplicaram os patches disponíveis”, refere a empresa.

Apesar do elevado número de correções, a Oracle não indica a existência de vulnerabilidades zero-day exploradas ativamente.

Contudo, nas últimas semanas, várias empresas de cibersegurança reportaram atividade do grupo de cibercrime ShinyHunters associada à exploração de uma vulnerabilidade no Oracle PeopleSoft identificada como CVE-2026-35273.

Segundo essas investigações, os ataques terão visado pelo menos uma centena de organizações, muitas delas do setor da educação.

Embora a Oracle tenha recomendado a aplicação imediata das correções para esta vulnerabilidade, a documentação pública da empresa não confirma explicitamente a sua exploração em ambiente real. A falha é mencionada na atualização de junho, mas sem qualquer referência a ataques ativos.

Com a introdução das atualizações mensais, a Oracle procura reduzir o tempo de exposição das organizações a vulnerabilidades críticas, numa altura em que os ataques direcionados a aplicações empresariais continuam a aumentar.