CRITICAL🇬🇧 English

CVE-2026-46839

Krytyczna podatność w Oracle REST Data Services — przejęcie kontroli

CVSS 9.9v3.1pub. 2026-05-28upd. 2026-06-04

Podatność w komponencie Core usługi Oracle REST Data Services (ORDS) umożliwia niskouprawionemu atakującemu zdalne przejęcie kontroli nad systemem poprzez sieć HTTPS. Ocena CVSS 9.9 czyni ją jedną z najpoważniejszych klas zagrożeń, wpływającą potencjalnie na dodatkowe produkty powiązane z ORDS.

Pokaż oryginał (EN)

Vulnerability in Oracle REST Data Services (component: Core). Supported versions that are affected are 24.2.0-26.1.0. Easily exploitable vulnerability allows low privileged attacker with network access via HTTPS to compromise Oracle REST Data Services. While the vulnerability is in Oracle REST Data Services, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle REST Data Services. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).

🤖 Analiza AI
Jak działa

Atakujący posiadający minimalne uprawnienia sieciowe (low privileged) może wykorzystać podatność za pośrednictwem protokołu HTTPS bez konieczności jakiejkolwiek interakcji po stronie użytkownika. Podatność jest łatwa do wykorzystania (Attack Complexity: Low), a jej zakres wykracza poza sam produkt (scope change), co oznacza, że skuteczny atak może naruszyć również inne systemy lub usługi Oracle współpracujące z ORDS. Szczegółowy mechanizm techniczny nie został ujawniony w opisie producenta.

Skutki

Skuteczne wykorzystanie podatności prowadzi do pełnego przejęcia instancji Oracle REST Data Services, obejmując naruszenie poufności, integralności i dostępności danych oraz usług. Atak może ponadto istotnie wpłynąć na dodatkowe produkty zintegrowane z ORDS.

Mitygacja

Należy jak najszybciej zastosować patche dostępne u producenta opisane w biuletynie Oracle Critical Patch Update z maja 2026 r. (https://www.oracle.com/security-alerts/cspumay2026.html). Do czasu aktualizacji zaleca się ograniczenie dostępu do usługi ORDS wyłącznie do zaufanych sieci oraz weryfikację uprawnień kont mogących łączyć się z usługą przez HTTPS.

Kogo dotyczy

Oracle REST Data Services (ORDS) w wersjach 24.2.0 do 26.1.0 (włącznie)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Oracle Rest Data Services

    APP
    Oracle
    24.2.0 – 26.1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
DoS
CWE
Referencje

Powiązane podatności

CVE-2026-46775CRITICAL9.9PL ✓ten sam produkt

Krytyczna podatność w Oracle REST Data Services umożliwiająca przejęcie kontroli

CVE-2026-46840CRITICAL10.0PL ✓ten sam produkt

Krytyczna podatność w Oracle REST Data Services — przejęcie kontroli bez uwierzytelnienia

CVE-2017-7657CRITICAL9.8ten sam produkt

In Eclipse Jetty, versions 9.2.x and older, 9.3.x (all configurations), and 9.4.x (non-default configuration w...

CVE-2017-7658CRITICAL9.8ten sam produkt

In Eclipse Jetty Server, versions 9.2.x and older, 9.3.x (all non HTTP/1.x configurations), and 9.4.x (all HTT...

CVE-2026-35266HIGH7.9ten sam produkt

Vulnerability in Oracle REST Data Services (component: Core). Supported versions that are affected are 24.2.0...