Oracle warnt vor 35 neuen Sicherheitslücken und veröffentlicht kritischen Patch

Kritisches Sicherheitsupdate sowohl den eigenen Code verbreitete, in Oracle-Produkten eingebettete Komponenten, wie etwa Apache Kafka, ActiveMQ, Tomcat, ZooKeeper, MySQL, PCRE2, libpng und Apache HTTP Server. Im Datenbank-Stack erhalten Oracle Database Server-Versionen von 23.4.0 bis 23.26.2 drei neue Sicherheitspatches für den Net Service-Komponente.

Alle drei Schwachstellen, die als CVE‑2026‑46833, CVE‑2026‑46834 und CVE‑2026‑46835 verfolgt werden, können remote über TLS ohne Authentifizierung ausgenutzt werden; die Behebungen gelten auch für reine Client-Installationen, bei denen kein vollständiger Datenbankserver bereitgestellt ist.

Dies macht das Patchen in jeder Umgebung unerlässlich, in der Oracle-Client-Bibliotheken ungesicherten Netzwerken oder Zwischendiensten ausgesetzt sind.

Sicherheitslage und Risiko

Oracle REST Data Services (ORDS) Versionen von 24.2.0 bis 26.1.0 sind besonders betroffen und erhalten elf neue Sicherheitspatches sowie zusätzliche Updates für integrierte Komponenten sind sieben ohne Benutzeranmeldung über HTTPS aus der Ferne ausnutzbar und betreffen ORDS Core, Backend-as-a-Service, MongoAPI sowie den Eclipse Jetty-Stack.

Die CVE-2026-46840 im Backend-as-a-Service-Komponente weist einen CVSS v3.1 Basiswert von 10,0 auf und signalisiert im Falle einer Ausnutzung an einem exponierten ORDS-Endpunkt einen vollständigen Verlust, Integrität und Verfügbarkeit.

Oracle Communications Unified Assurance Versionen 6.1.1 bis 7.0.0 erhalten acht neue Patches, darunter vier Schwachstellen, die ohne Authentifizierung in Messaging- und Core-Web-Komponenten aus der Ferne ausgenutzt werden können.

Das CSPU liefert zudem 12 neue

Das CSPU liefert zudem 12 neue Korrekturen für Oracle E-Business Suite 12.2.3 bis 12.2.15, die Module wie Payments, Payroll, iAssets, Flow Manufacturing und Financials Common Modules betreffen, wobei mehrere CVSS-Werte von 9,8 und 9,9 über HTTP oder HTTPS vorliegen.

Im Bereich der Gastgewerbesoftware ist Oracle Hospitality OPERA 5 Property Services ‑2026‑34311 betroffen, einem kritischen Remote-Schwachstellenangriff mit einer CVSS-Bewertung von 9.8, der mehrere Versionen der 5.6.x-Reihe betrifft.

Die Oracle Security Alert Issues bieten CVSS-bewertete Schwachstellen, detaillierte Sicherheitsmitteilungen, Risikomatrizen und CSAF-Feeds für automatisiertes Sicherheitsmanagement.

Sicherheitslage und Risiko

Die Sicherheitsmitteilung betont, dass Angreifer weiterhin bereits gepatchte Schwachstellen ausnutzen, bei denen Kunden Updates erfolgreich verzögert haben, und fordert dringend die sofortige Bereitstellung der CSPU-Patches auf allen unterstützten Versionen.

Zwar kann das Risiko vorübergehend durch das Blockieren betroffener Netzwerkprotokolle oder das Entfernen unnötiger Berechtigungen verringert werden, doch warnt Oracle davor, dass solche Maßnahmen die Funktionsfähigkeit der Anwendungen beeinträchtigen können und keinesfalls als langfristige Alternative zur Behebung der zugrundeliegenden Code-Schwachstellen betrachtet werden dürfen.

Abi ist eine Sicherheitsredakteurin und Reporterin bei