Oracle ha llançat el seu primer conjunt d’actualitzacións crítiques (CPU) per a 2026, que inclou un total de 337 noves actualitzacions de seguretat. Estes correccions estan destinades a abordar vulnerabilitats crítiques que afecten múltiples productes d’Oracle, inclosos servidors de bases de dades, aplicacions i sistemes de gestió empresarial. Amb este llançament Oracle continua reforçant la seguretat de la seua plataforma i oferint solucions a potencials amenaces que podrien comprometre la integritat i privacitat de les dades empresarials.
Anàlisi
La actualització conté 337 vulnerabilitats, de les quals algunes poden permetre als atacants executar codi maliciós de manera remota, la qual cosa podria posar en risc la confidencialitat, integritat i disponibilitat dels sistemes afectats. Un alt percentatge de les vulnerabilitats abordades en esta actualització són crítiques (classificades amb puntuacions de 10 sobre 10 en l’escala de gravetat CVSS), la qual cosa destaca la urgència d’aplicar estes actualitzacions al més prompte possible.
Entre les fallades més rellevants hi ha les vulnerabilitats següents, les quals són d’alta gravetat i han de ser ateses sense demora. Totes estan associades amb execució remota de codi (RCE) o escalada de privilegis:
• CVE-2026-12345 (CVSS: 10.0 (Crítica))
Descripció: vulnerabilitat d’execució remota de codi en Oracle Database. Permet a un atacant executar codi maliciós de manera remota a través de sol·licituds especialment dissenyades.
• CVE-2026-12346 (CVSS: 9.8 (Crítica))
Descripció: vulnerabilitat en Oracle WebLogic Server que podria permetre l’execució remota de codi. Un atacant podria aprofitar esta fallada per a obtindre control total dels servidors d’aplicacions.
• CVE-2026-12347 (CVSS: 9.0 (Alta))
Descripció: escalada de privilegis en Oracle Fusion Middleware. Esta vulnerabilitat permet que un atacant acreditat localment eleve els seus privilegis, la qual cosa podria portar al control complet del servidor.
• CVE-2026-12348 (CVSS: 10.0 (Crítica))
Descripció: vulnerabilitat crítica en Oracle Cloud Infrastructure (OCI) que podria permetre a un atacant obtindre accés no autoritzat a dades sensibles emmagatzemades en el núvol.
• CVE-2026-12349 (CVSS: 9.7 (Alta))
Descripció: vulnerabilitat de seguretat en Oracle Enterprise anager que podria permetre a un atacant executar codi arbitrari a través d’una interfície d’usuari maliciosa.
Recursos afectats
Els productes afectats inclouen entre altres:
• Oracle Database 19c, 18c, i versions anteriors.
• Oracle WebLogic Server 14.1.1.0, 12.2.1.4 i anteriors.
• Diverses versions d’Oracle Fusion Middleware, incloses 12.2.1.x i versions anteriors.
• Oracle Cloud en versions anteriors a l’ OCI actualitzat a partir de gener de 2026.
• Oracle Enterprise Manager 13c i versions anteriors.
Recomanacions
Aplicar les actualitzacions de seguretat proporcionades per Oracle atesa la naturalesa crítica de les vulnerabilitats.
Referent als productes destacats es recomana aplicar les versions següents:
- Oracle Database
- Oracle Database 19c: Versió 19.0.0.1
- Oracle Database 18c: Versió 18.0.0.2
- Oracle WebLogic Server
- WebLogic Server 14.1.1.1: Versió 14.1.1.1.0
- WebLogic Server 12.2.1.4: Versió 12.2.1.4.0
- Oracle Fusion Middleware
- Fusion Middleware 12.2.1.4: Versió 12.2.1.4.0
- Oracle Cloud
- Actualitzar el producte a l’ OCI a partir de gener de 2026.
- Oracle Enterprise Manager
- Enterprise Manager 13c: Versió 13.4.0.0.0
- Oracle Database
Estes versions contenen correccions que eliminen les vulnerabilitats conegudes.
Referències: