Oracle EBS 重大漏洞遭實際濫用 逾 900 個系統面臨攻擊風險

Oracle E-Business Suite漏洞CVE-2026-46817已遭實際濫用,攻擊者可透過HTTP取得系統完整控制權。Shadowserver指出全球約950個執行個體仍對外公開,Oracle已發布修補程式,資安單位呼籲企業儘速完成更新,以降低遭攻擊風險。

Oracle E-Business Suite(EBS) 傳出新的重大漏洞已遭實際濫用,可能使超過 900 個對外公開的執行個體面臨網路攻擊風險。

此項編號 CVE-2026-46817 的漏洞存在於 Oracle E-Business Suite 的 Oracle Payments 產品檔案傳輸 (File Transmission) 元件。攻擊者若能透過 HTTP 存取系統,即使未具備任何權限,也可能取得系統完整控制權,且無須複雜攻擊技巧。該漏洞的 CVSS 風險評分高達 9.8,屬於極高風險漏洞。

甲骨文 (Oracle) 已於 2026 年 5 月發布的 Critical Patch Update(CPU) 中修補此漏洞,並呼籲用戶盡速完成更新。不過,網路威脅情報業者 Defused 於本週一警告,網路上已觀察到針對 CVE-2026-46817 的實際濫用活動,第一起攻擊案例於週末出現。在此之前,尚未發現相關濫用事件,也沒有公開的概念驗證 (Proof of Concept, POC) 程式碼。

網路安全監控組織 Shadowserver 表示,目前全球約有 950 個 Oracle E-Business Suite 執行個體直接曝露於網際網路,但目前尚不清楚其中有多少系統已完成 CVE-2026-46817 修補。

此外,美國網路安全暨基礎架構安全管理署 (Cybersecurity and Infrastructure Security Agency, CISA) 上個月也將 Oracle WebLogic Server 漏洞 CVE-2024-21182 納入已知遭濫用漏洞(Known Exploited Vulnerabilities, KEV)名冊,提醒各界加速修補。

數週後,Oracle 也修補 PeopleSoft Suite 漏洞 CVE-2026-35273 。駭客組織 ShinyHunters 宣稱利用該漏洞,在 5 月 27 日至 6 月 9 日期間入侵全球超過百家組織,包括英國諾丁漢大學及美國保險監理官協會(National Association of Insurance Commissioners, NAIC)。近日,日本汽車製造商日產(Nissan)也公告 PeopleSoft 資料外洩事件,影響現任及前任員工的個人資料。

此外,自 2025 年 8 月起,勒索軟體駭客組織 Clop 持續利用 Oracle E-Business Suite 漏洞 CVE-2025-61882 發動攻擊,受害組織包括哈佛大學、賓州大學、鳳凰城大學,以及羅技、《華盛頓郵報》與日立集團旗下 GlobalLogic 等企業與機構。

來源:Bleeping Computer 

發表迴響

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、 MIS 、 IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2025 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416

探索更多來自 網路資訊雜誌 的內容

立即訂閱即可持續閱讀,還能取得所有封存文章。

繼續閱讀

Secret Link