Noticias

Actualización de seguridad de Oracle - Abril 2026

Fecha de publicación: 

Resumen ejecutivo

En abril de 2026, Oracle ha publicado su Critical Patch Update (CPU) trimestral, que incluye un total de 241 vulnerabilidades identificadas en diversos productos. Este análisis se centra exclusivamente en las vulnerabilidades críticas, aquellas con puntiación CVSS igual o superior a 9.0, reportadas en los años 2025 y 2026. Entre las vulnerabilidades críticas, se destacan varios productos de Oracle Communications, como Oracle Communications Cloud Native Core Policy y Oracle Communications Unified Assurance, que presentan múltiples vulnerabilidades fácilmente explotables. En particular, se han identificado vulnerabilidades en Oracle Communications Operations Monitor y Oracle Business Intelligence Enterprise Edition, que también son susceptibles a ataques que podrían comprometer la integridad y disponibilidad de los sistemas. Un aspecto relevante es que varias de estas vulnerabilidades pueden ser explotadas sin necesidad de autenticación, permitiendo a un atacante no autenticado con acceso a la red comprometer los sistemas afectados. Esto incluye vulnerabilidades como CVE-2025-12543, CVE-2025-48913, y CVE-2025-68615, entre otras, que permiten la toma de control total de los productos afectados. Para mitigar estos riesgos, se recomienda aplicar el CPU correspondiente publicado por Oracle. La implementación de estas actualizaciones es crucial para proteger la infraestructura de TI y salvaguardar la información crítica de las organizaciones que utilizan estos productos.

Recursos afectados

Análisis técnico

Los detalles de las vulnerabilidades críticas (CVSS >= 9.0) de 2025, 2026 son:

  • CVE-2025-48913: Vulnerabilidad en el producto Oracle Communications Unified Assurance de Oracle Communications (componente: Core (Apache CXF)). Las versiones soportadas que están afectadas son 6.1.1-7.0.0. La vulnerabilidad, que es fácilmente explotable, permite a un atacante no autenticado con acceso a la red a través de HTTP comprometer Oracle Communications Unified Assurance. Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle Communications Unified Assurance.
    • Severidad: Crítica
    • CVSS: 9.8
    • Producto: Oracle Communications Unified Assurance
    • Componente: Core (Apache CXF)
    • Versiones afectadas: 6
    • Sin autenticación: Sí
    • Explotabilidad: Fácil
    • Impactos: Confidencialidad, Integridad, Disponibilidad
  • CVE-2025-68615: Vulnerabilidad en el producto Oracle Communications EAGLE de Oracle Communications (componente: Otro (Net-SNMP)). La versión soportada que se ve afectada es 47.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de UDP comprometer Oracle Communications EAGLE. Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle Communications EAGLE.
    • Severidad: Crítica
    • CVSS: 9.8
    • Producto: Oracle Communications EAGLE
    • Componente: Other (Net-SNMP)
    • Versiones afectadas: 47
    • Sin autenticación: Sí
    • Explotabilidad: Fácil
    • Impactos: Confidencialidad, Integridad, Disponibilidad
  • CVE-2025-6965: Vulnerabilidad en el producto Oracle Communications Cloud Native Core Network Exposure Function de Oracle Communications (componente: Plataforma (SQLite)). La versión soportada que se ve afectada es 24.2.1. La vulnerabilidad, fácilmente explotable, permite a un atacante no autenticado con acceso a la red a través de HTTP comprometer Oracle Communications Cloud Native Core Network Exposure Function. Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle Communications Cloud Native Core Network Exposure Function.
    • Severidad: Crítica
    • CVSS: 9.8
    • Producto: Oracle Communications Cloud Native Core Network Exposure Function
    • Componente: Platform (SQLite)
    • Versiones afectadas: 24
    • Sin autenticación: Sí
    • Explotabilidad: Fácil
    • Impactos: Confidencialidad, Integridad, Disponibilidad
  • CVE-2026-25968: Vulnerabilidad en el producto Oracle Communications Operations Monitor de Oracle Communications (componente: Mediation Engine (ImageMagick)). Las versiones afectadas son 5.2, 6.0 y 6.1. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de HTTP comprometer Oracle Communications Operations Monitor. Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle Communications Operations Monitor.
    • Severidad: Crítica
    • CVSS: 9.8
    • Producto: Oracle Communications Operations Monitor
    • Componente: Mediation Engine (ImageMagick)
    • Versiones afectadas: 5
    • Sin autenticación: Sí
    • Explotabilidad: Fácil
    • Impactos: Confidencialidad, Integridad, Disponibilidad
  • CVE-2026-34275: Vulnerabilidad en el producto Oracle Advanced Inbound Telephony de Oracle E-Business Suite (componente: Configuración y Administración). Las versiones soportadas que están afectadas son 12.2.3-12.2.15. La vulnerabilidad, que es fácilmente explotable, permite a un atacante no autenticado con acceso a la red a través de HTTP comprometer Oracle Advanced Inbound Telephony. Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle Advanced Inbound Telephony.
    • Severidad: Crítica
    • CVSS: 9.8
    • Producto: Oracle Advanced Inbound Telephony
    • Componente: Setup and Administration
    • Versiones afectadas: 12
    • Sin autenticación: Sí
    • Explotabilidad: Fácil
    • Impactos: Confidencialidad, Integridad, Disponibilidad
  • CVE-2026-27727: Vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Analytics (componente: Platform Security (Mchange Commons Java)). Las versiones soportadas que están afectadas son 7.6.0.0.0 y 8.2.0.0.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de LDAP comprometer Oracle Business Intelligence Enterprise Edition. Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle Business Intelligence Enterprise Edition.
    • Severidad: Crítica
    • CVSS: 9.8
    • Producto: Oracle Business Intelligence Enterprise Edition
    • Componente: Platform Security (Mchange Commons Java)
    • Versiones afectadas: 7
    • Sin autenticación: Sí
    • Explotabilidad: Fácil
    • Impactos: Confidencialidad, Integridad, Disponibilidad
  • CVE-2025-12543: Vulnerabilidad en el producto Oracle Communications Cloud Native Core Policy de Oracle Communications (componente: Alarms, KPI, and Measurements (Undertow)). La versión soportada que se ve afectada es 25.1.200. Esta vulnerabilidad, fácilmente explotable, permite a un atacante no autenticado con acceso a la red a través de HTTP comprometer Oracle Communications Cloud Native Core Policy. Los ataques exitosos requieren interacción humana de una persona distinta al atacante y, aunque la vulnerabilidad está en Oracle Communications Cloud Native Core Policy, los ataques pueden impactar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle Communications Cloud Native Core Policy.
    • Severidad: Crítica
    • CVSS: 9.6
    • Producto: Oracle Communications Cloud Native Core Policy
    • Componente: Alarms, KPI, and Measurements (Undertow)
    • Versiones afectadas: 25
    • Sin autenticación: Sí
    • Explotabilidad: Fácil
    • Impactos: Confidencialidad, Integridad, Disponibilidad
  • CVE-2025-55130: Vulnerabilidad en el producto Oracle Communications Cloud Native Core Policy de Oracle Communications (componente: Install (Node.js)). La versión soportada que se ve afectada es 25.1.202. Esta vulnerabilidad, fácilmente explotable, permite a un atacante no autenticado con acceso a la red a través de HTTP comprometer Oracle Communications Cloud Native Core Policy. Los ataques exitosos de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de Oracle Communications Cloud Native Core Policy, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Communications Cloud Native Core Policy.
    • Severidad: Crítica
    • CVSS: 9.1
    • Producto: Oracle Communications Cloud Native Core Policy
    • Componente: Install (Node
    • Versiones afectadas: 25
    • Sin autenticación: Sí
    • Explotabilidad: Fácil
    • Impactos: Confidencialidad, Integridad
  • CVE-2025-58050: Vulnerabilidad en el producto Oracle Communications Operations Monitor de Oracle Communications (componente: Mediation Engine (PCRE2)). Las versiones soportadas que están afectadas son 5.2 y 6.0. Esta vulnerabilidad, fácilmente explotable, permite a un atacante no autenticado con acceso a la red a través de HTTP comprometer Oracle Communications Operations Monitor. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Communications Operations Monitor, así como la capacidad no autorizada de causar un bloqueo o un fallo repetible con frecuencia (denegación de servicio completa) de Oracle Communications Operations Monitor.
    • Severidad: Crítica
    • CVSS: 9.1
    • Producto: Oracle Communications Operations Monitor
    • Componente: Mediation Engine (PCRE2)
    • Versiones afectadas: 5
    • Sin autenticación: Sí
    • Explotabilidad: Fácil
    • Impactos: Confidencialidad, Disponibilidad
  • CVE-2026-34279: Vulnerabilidad en el producto Oracle Enterprise Manager Base Platform de Oracle Enterprise Manager (componente: Event Management). Las versiones soportadas que están afectadas son 13.5 y 24.1. La vulnerabilidad, que es fácilmente explotable, permite a un atacante con altos privilegios y acceso a la red a través de HTTP comprometer Oracle Enterprise Manager Base Platform. Aunque la vulnerabilidad se encuentra en Oracle Enterprise Manager Base Platform, los ataques pueden impactar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle Enterprise Manager Base Platform.
    • Severidad: Crítica
    • CVSS: 9.1
    • Producto: Oracle Enterprise Manager Base Platform
    • Componente: Event Management
    • Versiones afectadas: 13
    • Sin autenticación: No
    • Explotabilidad: Fácil
    • Impactos: Confidencialidad, Integridad, Disponibilidad
  • CVE-2026-34285: Vulnerabilidad en el producto Oracle Identity Manager Connector de Oracle Fusion Middleware (componente: Core). La versión soportada que se ve afectada es 12.2.1.4.0. La vulnerabilidad, fácilmente explotable, permite a un atacante no autenticado con acceso a la red a través de HTTPS comprometer Oracle Identity Manager Connector. Los ataques exitosos de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada de acceso a datos críticos o a todos los datos accesibles de Oracle Identity Manager Connector, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Identity Manager Connector.
    • Severidad: Crítica
    • CVSS: 9.1
    • Producto: Oracle Identity Manager Connector
    • Componente: Core
    • Versiones afectadas: 12
    • Sin autenticación: Sí
    • Explotabilidad: Fácil
    • Impactos: Confidencialidad, Integridad
  • CVE-2026-34286: Vulnerabilidad en el producto Oracle Identity Manager Connector de Oracle Fusion Middleware (componente: Core). La versión soportada que se ve afectada es 12.2.1.4.0. Esta vulnerabilidad, fácilmente explotable, permite a un atacante no autenticado con acceso a la red a través de HTTPS comprometer Oracle Identity Manager Connector. Los ataques exitosos de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de Oracle Identity Manager Connector, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Identity Manager Connector.
    • Severidad: Crítica
    • CVSS: 9.1
    • Producto: Oracle Identity Manager Connector
    • Componente: Core
    • Versiones afectadas: 12
    • Sin autenticación: Sí
    • Explotabilidad: Fácil
    • Impactos: Confidencialidad, Integridad
  • CVE-2026-34287: Vulnerabilidad en el producto Oracle Identity Manager Connector de Oracle Fusion Middleware (componente: Core). La versión soportada afectada es 12.2.1.4.0. Esta vulnerabilidad, fácilmente explotable, permite a un atacante no autenticado con acceso a la red a través de HTTPS comprometer Oracle Identity Manager Connector. Los ataques exitosos de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada de acceso a datos críticos o a todos los datos accesibles de Oracle Identity Manager Connector, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Identity Manager Connector.
    • Severidad: Crítica
    • CVSS: 9.1
    • Producto: Oracle Identity Manager Connector
    • Componente: Core
    • Versiones afectadas: 12
    • Sin autenticación: Sí
    • Explotabilidad: Fácil
    • Impactos: Confidencialidad, Integridad
  • CVE-2026-27830: Vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Analytics (componente: Platform Security (c3p0)). Las versiones soportadas que están afectadas son 7.6.0.0.0 y 8.2.0.0.0. Esta vulnerabilidad, que es fácilmente explotable, permite a un atacante con bajos privilegios y acceso al segmento de comunicación física conectado al hardware donde se ejecuta Oracle Business Intelligence Enterprise Edition comprometer Oracle Business Intelligence Enterprise Edition. Aunque la vulnerabilidad se encuentra en Oracle Business Intelligence Enterprise Edition, los ataques pueden impactar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle Business Intelligence Enterprise Edition.
    • Severidad: Crítica
    • CVSS: 9.0
    • Producto: Oracle Business Intelligence Enterprise Edition
    • Componente: Platform Security (c3p0)
    • Versiones afectadas: 7
    • Sin autenticación: No
    • Explotabilidad: Fácil
    • Impactos: Confidencialidad, Integridad, Disponibilidad

Mitigación / Solución

Para prevenir estas vulnerabilidades críticas, se recomienda aplicar el Critical Patch Update (CPU) correspondiente de Oracle en todos los sistemas afectados.

Referencias adicionales