Nach Angaben von CISA wird CVE-2026-46817 derzeit aktiv in Angriffen ausgenutzt. Die Behörde nahm die Schwachstelle am Mittwoch in ihre Liste bekannter ausgenutzter Sicherheitslücken auf und verpflichtete US-Bundesbehörden per Binding Operational Directive 26-04 dazu, betroffene Oracle-EBS-Instanzen bis Samstag, 18. Juli, abzusichern.
CISA beschreibt den Fehler als Schwachstelle bei der Rechteverwaltung in Oracle E-Business Suite. Ein nicht authentifizierter Angreifer mit Netzwerkzugriff über HTTP könne dadurch Oracle Payments kompromittieren. Erfolgreiche Angriffe könnten zur Übernahme von Oracle Payments führen, so die Behörde.
Oracle hatte die Sicherheitsupdates bereits im Mai 2026 veröffentlicht. Der Hersteller warnte damals, dass Angreifer in einigen Fällen deshalb erfolgreich gewesen seien, weil betroffene Kunden verfügbare Oracle-Patches nicht eingespielt hätten. Oracle empfahl daher ausdrücklich, unterstützte Versionen einzusetzen und Sicherheitsupdates ohne Verzögerung zu installieren.
Einen frühen Hinweis auf aktive Ausnutzung lieferte Defused. Das Unternehmen erklärte am 29. Juni, böswillige Akteure hätten begonnen, CVE-2026-46817 in freier Wildbahn auszunutzen. Über ein Wochenende hinweg habe Defused einen Akteur dabei beobachtet, wie er die Schwachstelle auf Oracle-E-Business-Honeypots ausnutzte. Nach Angaben des Unternehmens gab es für diese Lücke zuvor keine bekannte Ausnutzung, außerdem sei kein öffentlich verfügbarer Proof of Concept bekannt.
Wie groß die potenzielle Angriffsfläche ist, zeigt ein Überblick von Shadowserver. Die Internet-Sicherheitsorganisation verfolgt inzwischen mehr als 1.000 aus dem Internet erreichbare Oracle-EBS-Instanzen, mehr als die Hälfte davon in den USA. Unklar ist allerdings, wie viele davon Honeypots sind oder bereits gegen die laufenden Angriffe auf CVE-2026-46817 abgesichert wurden.
CISA hatte Oracle-Produkte schon zuvor mehrfach wegen aktiv ausgenutzter Schwachstellen auf ihre Prioritätenliste gesetzt. Im Oktober ordnete die Behörde an, eine nicht authentifizierte SSRF-Schwachstelle in Oracle E-Business Suite mit der Kennung CVE-2025-61884 zu patchen, nachdem sie als aktiv ausgenutzt eingestuft worden war.
Kürzlich forderte CISA Bundesbehörden außerdem auf, ihre Systeme gegen eine schwerwiegende Schwachstelle in Oracle WebLogic Server abzusichern. Dabei handelt es sich um CVE-2024-21182, eine Lücke, für die bereits vor zwei Jahren ein Patch bereitgestellt worden war und die inzwischen aktiv in Angriffen ausgenutzt wird.
Über die vergangenen Jahre hinweg hat CISA nach eigenen Angaben 43 Sicherheitsprobleme in verschiedenen Oracle-Produkten als in freier Wildbahn ausgenutzt markiert. Zwölf davon wurden demnach auch von Ransomware-Gruppen missbraucht.
