Ir para conteúdo

Alerta de Vulnerabilidade - Oracle Payments

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Oracle E-Business Suite
ECOSSISTEMA
Oracle
CVSS v3.1 — Resumo Técnico
Vetor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Vetor de Ataque Rede Exploração remota via rede
Complexidade Baixa Fácil de explorar
Privilégios Nenhum Sem autenticação
Interação Nenhuma Não requer intervenção do utilizador
Âmbito Inalterado O impacto mantém-se no componente vulnerável
Impacto
(C/I/A)
Alta / Alta / Alta Impacto elevado na confidencialidade, integridade e disponibilidade
Impacto operacional Crítico A exploração bem-sucedida pode resultar no controlo do Oracle Payments
Resumo Vulnerabilidade crítica de autenticação imprópria e gestão imprópria de privilégios no Oracle Payments, componente File Transmission, do Oracle E-Business Suite. Um atacante remoto não autenticado, com acesso de rede via HTTP, pode comprometer o Oracle Payments sem interação do utilizador. As versões afetadas são Oracle E-Business Suite 12.2.3 até 12.2.15 (inclusive).

Descrição
Vulnerabilidade crítica CVE-2026-46817/EUVD-2026-33040 associada a ausência de autenticação numa função crítica (CWE-306), autenticação imprópria (CWE-287) e gestão imprópria de privilégios (CWE-269), afeta o componente File Transmission do produto Oracle Payments da Oracle E-Business Suite [1][2][3].

As versões suportadas afetadas são Oracle E-Business Suite 12.2.3 até 12.2.15 (inclusive) [1][3]. 

Impacto
Esta vulnerabilidade pode ser explorada remotamente por um atacante não autenticado, através de acesso de rede via HTTP, sem interação do utilizador [1][3].

A exploração bem-sucedida pode permitir comprometer o Oracle Payments, com impacto elevado na confidencialidade, integridade e disponibilidade do componente afetado [1][3].

Resolução
Recomenda-se aplicar as correções disponibilizadas pela Oracle no Critical Security Patch Update de maio de 2026 para Oracle E-Business Suite [3]. 

Caso a atualização imediata não seja possível, recomenda-se reduzir a superfície de exposição até à aplicação da atualização [3]:
  • Restringir o acesso HTTP/HTTPS ao Oracle E-Business Suite e ao Oracle Payments apenas a redes de confiança, VPN ou segmentos administrativos;
  • Bloquear a exposição direta à Internet dos serviços afetados;
  • Rever privilégios e acessos não necessários associados aos componentes afetados;
  • Monitorizar registos de acesso HTTP/HTTPS e eventos aplicacionais relacionados com Oracle Payments e File Transmission, procurando atividade incomum ou tentativas de acesso não autorizado.
Estas medidas reduzem o risco de exploração, mas não substituem a aplicação das correções disponibilizadas pelo fabricante [3].

Referências
[1] - https://nvd.nist.gov/vuln/detail/CVE-2026-46817
[2] - https://euvd.enisa.europa.eu/vulnerability/EUVD-2026-33040
[3] - https://www.oracle.com/security-alerts/cspumay2026.html
Última atualização em 07-09-2022