Albisteak

Oracleren segurtasuna eguneratzea - 2026eko apirila

Argitalpen-data: 

Laburpen exekutiboa

2026ko apirilean, Oraclek bere hiruhileko Critical Patch Update‑a (CPU) argitaratu du, hainbat produktutan identifikatutako 241 ahultasun biltzen dituena. Azterketa hau ahultasun kritikoetan soilik oinarritzen da, hau da, 9,0 edo gehiagoko CVSS puntuazioa dutenak, 2025 eta 2026 urteetan jakinarazitakoetan. Ahultasun kritikoen artean, Oracle Communications familiako hainbat produktu nabarmentzen dira, hala nola Oracle Communications Cloud Native Core Policy eta Oracle Communications Unified Assurance, hainbat ahultasun erraz ustiagarri dituztelako. Bereziki, Oracle Communications Operations Monitor eta Oracle Business Intelligence Enterprise Edition produktuetan ahultasunak identifikatu dira, sistemaren osotasuna eta erabilgarritasuna arriskuan jar ditzaketen erasoen aurrean kalteberak direlarik. Azpimarratzekoa da ahultasun horietako batzuk autentifikaziorik gabe ustiatu daitezkeela, sare‑sarbiderea duen autentifikatu gabeko erasotzaile bati kaltetutako sistemak konprometitzeko aukera emanez. Horien artean daude, besteak beste, CVE‑2025‑12543, CVE‑2025‑48913 eta CVE‑2025‑68615 ahultasunak, kaltetutako produktuen kontrol osoa hartzea ahalbidetzen dutenak. Arrisku horiek arintzeko, Oracleren dagokion CPU‑a aplikatzea gomendatzen da. Eguneraketa horien ezarpena funtsezkoa da IT azpiegitura babesteko eta produktu horiek erabiltzen dituzten erakundeen informazio kritikoa bermatzeko.

Eragindako baliabideak

Azterketa teknikoa

2025, 2026ko CVE ahultasun kritikoen (CVSS >= 9.0) xehetasunak hauek dira:

  • CVE-2025-48913: Oracle Communications-en Oracle Communications Unified Assurance produktuan dagoen ahultasun bat (osagai: Core (Apache CXF)). Eragindako bertsio babestuak 6.1.1-7.0.0 dira. Erraz ustiatu daitekeen ahultasun honek HTTP bidez sareko sarbidea duen autentifikatu gabeko erasotzaile bati Oracle Communications Unified Assurance konprometitzeko aukera ematen dio. Ahultasun honen aurkako eraso arrakastatsuak Oracle Communications Unified Assurance-ren kontrola hartzea ekar dezake.
    • Larritasuna: Kritikoa
    • CVSS: 9.8
    • Produktua: Oracle Communications Unified Assurance
    • Osagaia: Core (Apache CXF)
    • Kaltetutako bertsioak: 6
    • Autentikaziorik gabe: Bai
    • Esplotazioa: Erraza
    • Inpaktuak: Konfidentzialtasuna, Osotasuna, Erabilgarritasuna
  • CVE-2025-68615: Oracle Communications (component: Other (Net-SNMP)) produktuan dagoen ahultasun bat. Erabilgarri den bertsioa 47.0 da, eta horrek eragina du. Erraz ustiatu daitekeen ahultasun honek UDP bidezko sare-sarrera duen autentifikatu gabeko erasotzaile bati Oracle Communications EAGLE konprometitzeko aukera ematen dio. Ahultasun honen eraso arrakastatsuak Oracle Communications EAGLE-ren kontrola hartzera eraman dezakete.
    • Larritasuna: Kritikoa
    • CVSS: 9.8
    • Produktua: Oracle Communications EAGLE
    • Osagaia: Other (Net-SNMP)
    • Kaltetutako bertsioak: 47
    • Autentikaziorik gabe: Bai
    • Esplotazioa: Erraza
    • Inpaktuak: Konfidentzialtasuna, Osotasuna, Erabilgarritasuna
  • CVE-2025-6965: Oracle Communications-en Cloud Native Core Network Exposure Function produktuan dagoen segurtasun ahultasun bat (osagai: Plataforma (SQLite)). Eragindako bertsioa 24.2.1 da. Erraz ustiatu daitekeen ahultasun honek HTTP bidez sareko sarbidea duen autentifikatu gabeko erasotzaile bati aukera ematen dio Oracle Communications Cloud Native Core Network Exposure Function konprometitzeko. Ahultasun honen aurkako eraso arrakastatsuak Oracle Communications Cloud Native Core Network Exposure Function-en kontrola hartzera eraman dezakete.
    • Larritasuna: Kritikoa
    • CVSS: 9.8
    • Produktua: Oracle Communications Cloud Native Core Network Exposure Function
    • Osagaia: Platform (SQLite)
    • Kaltetutako bertsioak: 24
    • Autentikaziorik gabe: Bai
    • Esplotazioa: Erraza
    • Inpaktuak: Konfidentzialtasuna, Osotasuna, Erabilgarritasuna
  • CVE-2026-25968: Oracle Communications produktuan, Oracle Communications-en (osagai: Mediation Engine (ImageMagick)) segurtasun ahultasun bat dago. Eraginpean dauden bertsio lagunduak 5.2, 6.0 eta 6.1 dira. Erraz ustiatu daitekeen ahultasun honek HTTP bidezko sareko sarbidea duen autentifikatu gabeko erasotzaile bati Oracle Communications Operations Monitor konprometitzeko aukera ematen dio. Ahultasun honen aurkako eraso arrakastatsuak Oracle Communications Operations Monitor-en kontrola hartzea ekar dezake.
    • Larritasuna: Kritikoa
    • CVSS: 9.8
    • Produktua: Oracle Communications Operations Monitor
    • Osagaia: Mediation Engine (ImageMagick)
    • Kaltetutako bertsioak: 5
    • Autentikaziorik gabe: Bai
    • Esplotazioa: Erraza
    • Inpaktuak: Konfidentzialtasuna, Osotasuna, Erabilgarritasuna
  • CVE-2026-34275: Oracle E-Business Suite-ren Oracle Advanced Inbound Telephony produktuan dagoen ahultasun bat (osagaia: Konfigurazioa eta Administrazioa). Eraginpean dauden bertsio lagunduak 12.2.3-12.2.15 dira. Erraz ustiatu daitekeen ahultasun honek HTTP bidez sareko sarbidea duen autentifikatu gabeko erasotzaile batek Oracle Advanced Inbound Telephony konprometitzeko aukera ematen du. Ahultasun honen aurkako eraso arrakastatsuak Oracle Advanced Inbound Telephony-ren kontrola hartzera eraman dezake.
    • Larritasuna: Kritikoa
    • CVSS: 9.8
    • Produktua: Oracle Advanced Inbound Telephony
    • Osagaia: Setup and Administration
    • Kaltetutako bertsioak: 12
    • Autentikaziorik gabe: Bai
    • Esplotazioa: Erraza
    • Inpaktuak: Konfidentzialtasuna, Osotasuna, Erabilgarritasuna
  • CVE-2026-27727: Oracle Analytics produktuko Oracle Business Intelligence Enterprise Edition-en segurtasun ahultasuna (osagai: Platform Security (Mchange Commons Java)). Eragindako bertsio babestuak 7.6.0.0.0 eta 8.2.0.0.0 dira. Erraz ustiatu daitekeen ahultasun honek LDAP bidezko sareko sarbidea duen autentifikatu gabeko erasotzaile batek Oracle Business Intelligence Enterprise Edition konprometitzeko aukera ematen du. Ahultasun honen aurkako eraso arrakastatsuak Oracle Business Intelligence Enterprise Edition-en kontrola hartzea ekar dezake.
    • Larritasuna: Kritikoa
    • CVSS: 9.8
    • Produktua: Oracle Business Intelligence Enterprise Edition
    • Osagaia: Platform Security (Mchange Commons Java)
    • Kaltetutako bertsioak: 7
    • Autentikaziorik gabe: Bai
    • Esplotazioa: Erraza
    • Inpaktuak: Konfidentzialtasuna, Osotasuna, Erabilgarritasuna
  • CVE-2025-12543: Oracle Communications-en Oracle Communications Cloud Native Core Policy produktuan segurtasun ahultasun bat. Eragindako bertsioa 25.1.200 da. Erraz ustiatu daitekeen ahultasun honek HTTP bidezko sareko sarbidea duen autentifikatu gabeko erasotzaile bati aukera ematen dio Oracle Communications Cloud Native Core Policy konprometitzeko. Eraso arrakastatsuak erasotzailearen kanpotik beste pertsona batek interakzioa izatea eskatzen du, eta ahultasuna Oracle Communications Cloud Native Core Policy-n dagoen bitartean, erasoek beste produktuen gainean eragin handia izan dezakete (eskopoa aldatu). Ahultasun honen eraso arrakastatsuak Oracle Communications Cloud Native Core Policy-ren kontrola hartzea ekar dezake.
    • Larritasuna: Kritikoa
    • CVSS: 9.6
    • Produktua: Oracle Communications Cloud Native Core Policy
    • Osagaia: Alarms, KPI, and Measurements (Undertow)
    • Kaltetutako bertsioak: 25
    • Autentikaziorik gabe: Bai
    • Esplotazioa: Erraza
    • Inpaktuak: Konfidentzialtasuna, Osotasuna, Erabilgarritasuna
  • CVE-2025-55130: Oracle Communications-en Oracle Communications Cloud Native Core Policy produktuan segurtasun ahultasun bat. Eragindako bertsioa 25.1.202 da. Erraz ustiatu daitekeen ahultasun honek HTTP bidezko sareko sarbidea duen autentifikatu gabeko erasotzaile bati aukera ematen dio Oracle Communications Cloud Native Core Policy konprometitzeko. Ahultasun honen aurkako eraso arrakastatsuak datu kritikoen baimenik gabeko sorrera, ezabatze edo aldaketa eragitea ekar dezake, baita Oracle Communications Cloud Native Core Policy-ra sarbide publikoa duten datu guztien baimenik gabeko sarbidea ere.
    • Larritasuna: Kritikoa
    • CVSS: 9.1
    • Produktua: Oracle Communications Cloud Native Core Policy
    • Osagaia: Install (Node)
    • Kaltetutako bertsioak: 25
    • Autentikaziorik gabe: Bai
    • Esplotazioa: Erraza
      • li>Inpaktuak: Konfidentzialtasuna, Osotasuna
  • CVE-2025-58050: Oracle Communications-en Oracle Communications Operations Monitor produktuan dagoen ahultasun bat (osagai: Mediation Engine (PCRE2)). Eragindako bertsio lagunduak 5.2 eta 6.0 dira. Erraz ustiatu daitekeen ahultasun honek HTTP bidezko sare-sarrera duen autentifikatu gabeko erasotzaile batek Oracle Communications Operations Monitor konprometitzeko aukera ematen du. Ahultasun honen erasoei arrakasta izateak datu kritikoetara baimenik gabe sartzea edo Oracle Communications Operations Monitor-en eskuragarri dauden datu guztietara sarbide osoa lortzea eta Oracle Communications Operations Monitor-en gelditzea edo maiz errepikatu daitekeen akats bat eragiteko baimenik gabea izatea ekar dezake.
    • Larritasuna: Kritikoa
    • CVSS: 9.1
    • Produktua: Oracle Communications Operations Monitor
    • Osagaia: Mediation Engine (PCRE2)
    • Kaltetutako bertsioak: 5
    • Autentikaziorik gabe: Bai
    • Esplotazioa: Erraza
    • Inpaktuak: Konfidentzialtasuna, Erabilgarritasuna
  • CVE-2026-34279: Oracle Enterprise Manager-en Base Platform produktuan (osagai: Event Management) dagoen segurtasun ahultasuna. Eraginpean dauden bertsio lagundunak 13.5 eta 24.1 dira. Erraz ustiatzeko aukera ematen duen ahultasun honek HTTP bidezko sareko sarbidea duen privilegio handiko erasotzaile batek Oracle Enterprise Manager Base Platform konprometitzeko aukera ematen du. Ahultasuna Oracle Enterprise Manager Base Platform-en dagoen arren, erasoei beste produktuei eragin handia izan dezakete (eskopoa aldatu). Ahultasun honen aurkako erasoei arrakasta izateak Oracle Enterprise Manager Base Platform-en kontrola hartzea ekar dezake.
    • Larritasuna: Kritikoa
    • CVSS: 9.1
    • Produktua: Oracle Enterprise Manager Base Platform
    • Osagaia: Event Management
    • Kaltetutako bertsioak: 13
    • Autentikaziorik gabe: Ez
    • Esplotazioa: Erraza
    • Inpaktuak: Konfidentzialtasuna, Osotasuna, Erabilgarritasuna
  • CVE-2026-34285: Oracle Fusion Middleware produktuko Oracle Identity Manager Connector-en segurtasun ahultasuna (osagai: Core). Eraginpeko bertsioa 12.2.1.4.0 da. Erraz ustiatu daitekeen ahultasun honek HTTPS bidez sareko sarbidea duen autentifikatu gabeko erasotzaile bati Oracle Identity Manager Connector konprometitzeko aukera ematen dio. Ahultasun honen aurkako eraso arrakastatsuak datu kritikoen baimenik gabeko sorrera, ezabatze edo aldaketa eragitea ekar dezake, baita Oracle Identity Manager Connector-en eskuragarri dauden datu guztietarako baimenik gabeko sarbidea edo datu kritikoetarako sarbide osoa lortzea ere.
    • Larritasuna: Kritikoa
    • CVSS: 9.1
    • Produktua: Oracle Identity Manager Connector
    • Osagaia: Core
    • Kaltetutako bertsioak: 12
    • Autentikaziorik gabe: Bai
    • Esplotazioa: Erraza
      • li>Inpaktuak: Konfidentzialtasuna, Osotasuna
  • CVE-2026-34286: Oracle Fusion Middleware (osagai: Core) produktuko Oracle Identity Manager Connector-en segurtasun ahultasuna. Eraginpean dagoen bertsioa 12.2.1.4.0 da. Erraz ustiatu daitekeen ahultasun honek HTTPS bidezko sare-sarrera duen autentifikatu gabeko erasotzaile bati Oracle Identity Manager Connector konprometitzeko aukera ematen dio. Ahultasun honen aurkako eraso arrakastatsuak datu kritikoen baimenik gabeko sorrera, ezabatze edo aldaketa eragitea ekar dezake, baita Oracle Identity Manager Connector-en eskuragarri dauden datu guztietarako baimenik gabeko sarrera edo datu guztietarako sarrera osoa ere.
    • Larritasuna: Kritikoa
    • CVSS: 9.1
    • Produktua: Oracle Identity Manager Connector
    • Osagaia: Core
    • Kaltetutako bertsioak: 12
    • Autentikaziorik gabe: Bai
    • Esplotazioa: Erraza
      • li>Inpaktuak: Konfidentzialtasuna, Osotasuna
  • CVE-2026-34287: Oracle Fusion Middleware (osagai: Core) produktuko Oracle Identity Manager Connector-en segurtasun ahultasuna. Eraginpeko bertsioa 12.2.1.4.0 da. Erraz ustiatu daitekeen ahultasun honek HTTPS bidez sareko sarbidea duen autentifikatu gabeko erasotzaile bati Oracle Identity Manager Connector konprometitzeko aukera ematen dio. Ahultasun honen arrakastatsuenak datu kritikoen baimenik gabeko sorrera, ezabatze edo aldaketa eragin dezake, baita Oracle Identity Manager Connector-en eskuragarri dauden datu guztien baimenik gabeko sarbidea edo datu kritikoen osoko sarbidea ere.
    • Larritasuna: Kritikoa
    • CVSS: 9.1
    • Produktua: Oracle Identity Manager Connector
    • Osagaia: Core
    • Kaltetutako bertsioak: 12
    • Autentikaziorik gabe: Bai
    • Esplotazioa: Erraza
      • li>Inpaktuak: Konfidentzialtasuna, Osotasuna
  • CVE-2026-27830: Oracle Analytics produktuko Oracle Business Intelligence Enterprise Edition-en segurtasun ahultasun bat (osagai: Platform Security (c3p0)). Eragindako bertsio babestuak 7.6.0.0.0 eta 8.2.0.0.0 dira. Erraz ustiatu daitekeen ahultasun honek, hardwarean exekutatzen den Oracle Business Intelligence Enterprise Edition-en atxikitutako komunikazio segmentu fisikoan sarbidea duen pribilegio baxuko erasotzaile bati aukera ematen dio Oracle Business Intelligence Enterprise Edition konprometitzeko. Ahultasuna Oracle Business Intelligence Enterprise Edition-en dagoen arren, erasoei eragin handia izan dezakete produktu gehigarrietan (eskopoko aldaketa). Ahultasun honen aurkako erasoei arrakasta izateak Oracle Business Intelligence Enterprise Edition-en kontrola hartzea ekar dezake.
    • Larritasuna: Kritikoa
    • CVSS: 9.0
    • Produktua: Oracle Business Intelligence Enterprise Edition
    • Osagaia: Platform Security (c3p0)
    • Kaltetutako bertsioak: 7
    • Autentikaziorik gabe: Ez
    • Esplotazioa: Erraza
    • Inpaktuak: Konfidentzialtasuna, Osotasuna, Erabilgarritasuna

Arintzea/Konponbidea

Ahultasun kritiko hauek saihesteko, gomendagarria da Oracle-ren Critical Patch Update (CPU) dagokiona aplikatzea kaltetutako sistema guztietan.

Erreferentzia gehigarriak