Mit dem CSPU vom Mai 2026 reagiert Oracle auf Sicherheitsmängel in fünf Produktfamilien. Das neue monatliche Format soll die bisherigen vierteljährlichen Auslieferungen ergänzen und hochpriorisierte Schwachstellen schneller schließen.
Die meisten Korrekturen entfielen auf E-Business Suite mit zwölf neuen Sicherheitspatches. Drei davon betreffen Schwachstellen, die sich aus der Ferne und ohne Authentifizierung ausnutzen lassen.
Für REST Data Services veröffentlichte Oracle elf neue Patches, von denen sieben Lücken schließen, die remote und ohne Anmeldung angreifbar sind. Vier weitere Korrekturen betreffen Schwachstellen in Komponenten von Drittanbietern; drei davon sind in dieser Oracle-Produktfamilie nicht ausnutzbar.
Communications erhielt acht neue Sicherheitspatches, vier davon für aus der Ferne und ohne Authentifizierung ausnutzbare Fehler. Zusätzlich beheben die Updates 38 weitere CVEs in Drittanbieter-Komponenten.
Beim Database Server schloss Oracle drei Sicherheitsmängel, die sich allesamt remote und ohne Authentifizierung ausnutzen lassen. Die Hospitality Applications erhielten einen Patch für ein Problem, das ebenfalls von entfernten, nicht authentifizierten Angreifern ausgenutzt werden kann.
Rund ein Dutzend der behobenen Schwachstellen stuft Oracle als kritisch ein, der Großteil der übrigen gilt als hochgradig gefährlich.
Oracle empfiehlt Organisationen nachdrücklich, die bereitgestellten Updates umgehend einzuspielen. Nach Angaben des Unternehmens hätten Angreifer in einigen Fällen Erfolg gehabt, weil betroffene Kunden verfügbare Oracle-Patches nicht eingespielt hatten. Oracle rät seinen Kunden daher, auf aktiv unterstützten Versionen zu bleiben und Sicherheitspatches ohne Verzögerung anzuwenden.
