Oracle Corporation ha publicado su actualización trimestral de seguridad (Critical Patch Update – CPU) correspondiente a abril de 2026, abordando un volumen significativo de vulnerabilidades en su ecosistema de productos empresariales.
La actualización incluye 481 parches de seguridad que corrigen aproximadamente 450 vulnerabilidades (CVEs) en 28 familias de productos, consolidándose como una de las actualizaciones más amplias recientes.
- Alta superficie de ataque remota:
Más de 300 vulnerabilidades pueden explotarse remotamente sin autenticación, lo que incrementa significativamente el riesgo de compromiso inicial.
- Presencia de vulnerabilidades críticas:
- Aproximadamente tres decenas de fallos son de severidad crítica, potencialmente explotables para ejecución remota de código (RCE) o toma de control.
- Vectores de ataque predominantes:
- Explotación remota sin credenciales
- Fallos en componentes web/servicios
- Vulnerabilidades en software empresarial expuesto
- Presencia de vulnerabilidades críticas:
Recursos Afectados
- Oracle Communications
- 139 parches en total
- 93 para fallos explotables remotamente sin autenticación
- Financial Services Applications
- 75 parches
- 59 vulnerabilidades remotas no autenticadas
- Fusion Middleware
- 59 parches
- 46 explotables remotamente sin autenticación
- Otros productos destacados:
- MySQL: 34 parches
- PeopleSoft: 21
- E-Business Suite: 18
- Siebel CRM: 14
- Java SE: 11
- Oracle Database Server: 8 1
- Oracle Communications
Estos sistemas suelen estar presentes en infraestructuras críticas, banca, telecomunicaciones y entornos corporativos, lo que eleva el impacto potencial.
Recomendaciones
- Aplicar los parches del CPU de abril 2026 de forma urgente, especialmente en sistemas expuestos a Internet.
- Priorizar activos con:
- Acceso remoto
- Servicios web/API
- Datos sensibles
Referencias
- https://www.securityweek.com/oracle-patches-450-vulnerabilities-with-april-2026-cpu/