Oracle-E-Business-Suite-Lücke CVE-2026-46817 wird bereits aktiv ausgenutzt

Zusammenfassung

Eine kritische Schwachstelle in der Oracle E-Business Suite wird nach Angaben von Defused Cyber bereits aktiv in freier Wildbahn ausgenutzt. Betroffen ist Oracle Payments, wo die als CVE-2026-46817 geführte Lücke mit einem CVSS-Wert von 9,8 auf fehlerhafte Rechteverwaltung und Authentifizierung zurückgeht. Laut Beschreibung in der National Vulnerability Database des NIST kann ein nicht authentifizierter Angreifer mit Netzwerkzugriff über HTTP verwundbare Instanzen kompromittieren und Oracle Payments übernehmen. Oracle hat Korrekturen für die Schwachstelle bereits im Rahmen seines Critical Security Patch Update im vergangenen Monat bereitgestellt. Dennoch beobachtete Defused Cyber am Wochenende einen Akteur, der die Lücke gegen die eigenen Oracle-E-Business-Honeypots ausnutzte. Der Fall ist auch deshalb relevant, weil zuletzt weitere schwere Oracle-Schwachstellen in Unternehmensanwendungen für reale Angriffe missbraucht wurden, darunter eine PeopleSoft-Lücke, die mit Datendiebstahl- und Erpressungsangriffen in Verbindung gebracht wurde.

CVE-2026-46817 betrifft Oracle Payments in Versionen 12.2.3 bis 12.2.15. Die Schwachstelle erlaubt laut NIST National Vulnerability Database einem nicht authentifizierten Angreifer mit Netzwerkzugriff über HTTP die Kompromittierung von Oracle Payments. Erfolgreiche Angriffe können demnach zur vollständigen Übernahme der betroffenen Komponente führen.

Oracle hat Patches bereits im vergangenen Monat mit seinem Critical Security Patch Update ausgeliefert. Trotzdem meldete Defused Cyber am Montag laufende Ausnutzung. Das Unternehmen erklärte, man habe am Wochenende auf den eigenen Oracle-E-Business-Honeypots einen Akteur bei der Ausnutzung der Schwachstelle beobachtet. Zugleich betonte Defused Cyber, dass es für diese Lücke nach bisherigem Kenntnisstand keine frühere bekannte Ausnutzung und keinen öffentlich verfügbaren Proof of Concept gibt.

Wie die Angriffe konkret ablaufen, ist derzeit offen. Ebenso gibt es bislang keine Angaben dazu, wer hinter den Aktivitäten steckt oder ob es sich um eine breiter angelegte opportunistische Welle oder um gezielte Angriffe auf ungepatchte Systeme handelt.

Der aktuelle Fall reiht sich in eine Serie schwerwiegender Oracle-Probleme ein. Bereits Ende vergangenen Jahres wurde eine weitere kritische Schwachstelle im selben Produkt, CVE-2025-61882 mit einem CVSS-Wert von 9,8, von Bedrohungsakteuren ausgenutzt, die mit der Ransomware-Operation Cl0p in Verbindung gebracht wurden. Frühe Angriffe darauf reichten dem Bericht zufolge bis in den August 2025 zurück.

In diesem Monat hatte Oracle außerdem eine kritische Zero-Day-Schwachstelle wegen fehlender Authentifizierung in der PeopleSoft Suite geschlossen. Diese Lücke, CVE-2026-35273 mit einem CVSS-Wert von 9,8, wurde aktiv bei Datendiebstahl- und Erpressungsangriffen von ShinyHunters ausgenutzt.

Nissan bestätigte inzwischen, zu den Betroffenen dieser PeopleSoft-Angriffe zu gehören. Der Autobauer erklärte, Opfer eines Einbruchs geworden zu sein, bei dem die PeopleSoft-Schwachstelle ausgenutzt wurde. Dabei könnten Gehaltsdaten, Bankverbindungen, Sozialversicherungsnummern sowie weitere persönliche und finanzielle Daten von Beschäftigten in den USA, Kanada, Mexiko und Brasilien offengelegt worden sein.

Jake Knott, leitender Sicherheitsforscher bei watchTowr, erklärte zu CVE-2026-35273, auffällig sei gewesen, dass es sich nicht um eine triviale, mit einer einzelnen Anfrage ausnutzbare Schwachstelle gehandelt habe. Die Angriffskette sei deutlich komplexer und kombiniere mehrere Schwachstellen, um eine schädliche Datei abzulegen, die nicht sofort ausgeführt werde, sondern bis zum Neustart des Servers warte. Das deute laut Knott auf einen Bedrohungsakteur hin, der die zugrunde liegende Codebasis tatsächlich kenne und gezielte Fähigkeiten dagegen entwickeln könne.

Oracle-E-Business-Suite-Lücke CVE-2026-46817 wird bereits aktiv ausgenutzt

Ähnliche Artikel

Neueste Artikel