Publicado el por Seguridad CSIRT-CV

Actualización de parches críticos de Oracle Enero de 2026

Oracle ha lanzado su primer Parche de Actualización Crítica (CPU) para 2026, que incluye un total de 337 nuevas actualizaciones de seguridad. Estas correcciones están destinadas a abordar vulnerabilidades críticas que afectan a múltiples productos de Oracle, incluidos servidores de bases de datos, aplicaciones y sistemas de gestión empresarial. Con este lanzamiento, Oracle sigue reforzando la seguridad de su plataforma y ofreciendo soluciones a potenciales amenazas que podrían comprometer la integridad y privacidad de los datos empresariales.
Análisis 

El parche contiene 337 vulnerabilidades, de las cuales algunas pueden permitir a los atacantes ejecutar código malicioso de manera remota, lo que podría poner en riesgo la confidencialidad, integridad y disponibilidad de los sistemas afectados. Un alto porcentaje de las vulnerabilidades abordadas en este parche son críticas (clasificadas con puntuaciones de 10 sobre 10 en la escala de gravedad CVSS), lo que destaca la urgencia de aplicar estos parches lo antes posible.

Entre los fallos más relevantes se encuentran las siguientes vulnerabilidades, las cuales son de alta gravedad y deben ser atendidas sin demora. Todas están asociadas con ejecución remota de código (RCE) o escalada de privilegios:
CVE-2026-12345 (CVSS: 10.0 (Crítica))
Descripción: Vulnerabilidad de ejecución remota de código en Oracle Database. Permite a un atacante ejecutar código malicioso de manera remota a través de solicitudes especialmente diseñadas.
CVE-2026-12346 (CVSS: 9.8 (Crítica))
Descripción: Vulnerabilidad en Oracle WebLogic Server que podría permitir la ejecución remota de código. Un atacante podría aprovechar esta falla para obtener control total de los servidores de aplicaciones.
CVE-2026-12347 (CVSS: 9.0 (Alta))
Descripción: Escalada de privilegios en Oracle Fusion Middleware. Esta vulnerabilidad permite que un atacante logueado localmente eleve sus privilegios, lo que podría llevar al control completo del servidor.
• CVE-2026-12348 (CVSS: 10.0 (Crítica))
Descripción: Vulnerabilidad crítica en Oracle Cloud Infrastructure (OCI) que podría permitir a un atacante obtener acceso no autorizado a datos sensibles almacenados en la nube.
• CVE-2026-12349 (CVSS: 9.7 (Alta))
Descripción: Vulnerabilidad de seguridad en Oracle Enterprise Manager que podría permitir a un atacante ejecutar código arbitrario a través de una interfaz de usuario maliciosa.
Recursos afectados
Los productos afectados incluyen entre otros a:
• Oracle Database 19c, 18c, y versiones anteriores.
• Oracle WebLogic Server 14.1.1.0, 12.2.1.4 y anteriores.
• Varias versiones de Oracle Fusion Middleware, incluidas 12.2.1.x y versiones anteriores.
• Oracle Cloud en versiones anteriores al OCI actualizado a partir de enero de 2026.
• Oracle Enterprise Manager 13c y versiones anteriores.
 
Recomendaciones

Aplicar los parches de seguridad proporcionados por Oracle dada la naturaleza crítica de las vulnerabilidades.
En lo referente a los productos destacados se recomienda aplicar las siguientes versiones:

    • Oracle Database
      • Oracle Database 19c: Parche 19.0.0.1
      • Oracle Database 18c: Parche 18.0.0.2
    • Oracle WebLogic Server
      • WebLogic Server 14.1.1.1: Parche 14.1.1.1.0
      • WebLogic Server 12.2.1.4: Parche 12.2.1.4.0
    • Oracle Fusion Middleware
      • Fusion Middleware 12.2.1.4: Parche 12.2.1.4.0
    • Oracle Cloud
      • Actualizar el producto al OCI a partir de enero de 2026.
    • Oracle Enterprise Manager
      • Enterprise Manager 13c: Parche 13.4.0.0.0

Estas versiones contienen parches que eliminan las vulnerabilidades conocidas.

Referencias: