Oracle E-Business Suite(EBS) 傳出新的重大漏洞已遭實際濫用,可能使超過 900 個對外公開的執行個體面臨網路攻擊風險。
此項編號 CVE-2026-46817 的漏洞存在於 Oracle E-Business Suite 的 Oracle Payments 產品檔案傳輸 (File Transmission) 元件。攻擊者若能透過 HTTP 存取系統,即使未具備任何權限,也可能取得系統完整控制權,且無須複雜攻擊技巧。該漏洞的 CVSS 風險評分高達 9.8,屬於極高風險漏洞。
甲骨文 (Oracle) 已於 2026 年 5 月發布的 Critical Patch Update(CPU) 中修補此漏洞,並呼籲用戶盡速完成更新。不過,網路威脅情報業者 Defused 於本週一警告,網路上已觀察到針對 CVE-2026-46817 的實際濫用活動,第一起攻擊案例於週末出現。在此之前,尚未發現相關濫用事件,也沒有公開的概念驗證 (Proof of Concept, POC) 程式碼。
網路安全監控組織 Shadowserver 表示,目前全球約有 950 個 Oracle E-Business Suite 執行個體直接曝露於網際網路,但目前尚不清楚其中有多少系統已完成 CVE-2026-46817 修補。
此外,美國網路安全暨基礎架構安全管理署 (Cybersecurity and Infrastructure Security Agency, CISA) 上個月也將 Oracle WebLogic Server 漏洞 CVE-2024-21182 納入已知遭濫用漏洞(Known Exploited Vulnerabilities, KEV)名冊,提醒各界加速修補。
數週後,Oracle 也修補 PeopleSoft Suite 漏洞 CVE-2026-35273 。駭客組織 ShinyHunters 宣稱利用該漏洞,在 5 月 27 日至 6 月 9 日期間入侵全球超過百家組織,包括英國諾丁漢大學及美國保險監理官協會(National Association of Insurance Commissioners, NAIC)。近日,日本汽車製造商日產(Nissan)也公告 PeopleSoft 資料外洩事件,影響現任及前任員工的個人資料。
此外,自 2025 年 8 月起,勒索軟體駭客組織 Clop 持續利用 Oracle E-Business Suite 漏洞 CVE-2025-61882 發動攻擊,受害組織包括哈佛大學、賓州大學、鳳凰城大學,以及羅技、《華盛頓郵報》與日立集團旗下 GlobalLogic 等企業與機構。
