Pakiet Critical Patch Update w Oracle | Centrum e-Zdrowia

Infolinia CeZ 24h/7   19 239

Tłumacz PJM

Unia Europejska Flaga Unii Europejskiej

czerwony trójkąt z wykrzyknikiem w środku unosi się nad klawiaturą laptopa

Pakiet Critical Patch Update w Oracle

Firma Oracle opublikowała pakiet Critical Patch Update April 2026, zawierający 481 poprawek bezpieczeństwa, w tym krytyczne podatności umożliwiające zdalne przejęcie serwerów oraz nieautoryzowany dostęp do danych. Część z luk może być wykorzystana przez nieuwierzytelnionych atakujących z poziomu sieci, co stwarza wysokie ryzyko dla środowisk opartych m.in. o Oracle WebLogic, Oracle HTTP Server, Netty oraz Oracle Database. Zalecamy niezwłoczną weryfikację używanych wersji i instalacja aktualizacji.

Charakterystyka podatności CVE-2026-21962

CVSS 3.1:10,0(Critical)

Jak działa podatność

Luka pozwala nieuwierzytelnionemu atakującemu z dostępem do sieci przez HTTP przejąć Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in.  

Podatne systemy

Oracle Weblogic Server Proxy Plug-in w wersjach:

  • 12.2.1.4.0,
  • 14.1.1.0.0,
  • 14.1.2.0.0.

Rekomendowane działania

Instalacja Critical Patch April CPU 2026 lub nowszej.

Źródło

Charakterystyka podatności CVE-2026-34305

CVSS 3.1:7,5(High)

Jak działa podatność

Luka umożliwia nieuwierzytelnionemu atakującemu z dostępem do sieci przez HTTP wykorzystać Oracle WebLogic Server. Udane ataki na tę lukę mogą skutkować nieautoryzowanym dostępem do danych krytycznych lub pełnym dostępem do wszystkich danych dostępnych przez Oracle WebLogic Server.  

Podatne systemy

Oracle WebLogic Server w wersjach;

  • 12.2.1.4.0,  
  • 14.1.1.0.0,
  • 14.1.2.0.0,
  • 15.1.1.0.0.

Rekomendowane działania

Instalacja Critical Patch April CPU  2026 lub nowszej.

Źródło

Charakterystyka podatności CVE-2026-33870

CVSS 3.1:7,5(High)

Jak działa podatność

Atakujący może wstrzyknąć ukryte żądania HTTP i uzyskać nieautoryzowany wpływ na aplikację.

Może to doprowadzić do:

  • przejęcia kont użytkowników
  • wykonania operacji jako inny użytkownik
  • ujawnienia poufnych danych
  • przejęcia aplikacji

Podatne systemy

Netty:

  • wszystkie wersje < 4.1.132.Final
  • wersje z zakresu 4.2.0 – 4.2.9 (włącznie)  

Rekomendowane działania

Aktualizacja oprogramowania do wersji:

  • 4.1.132.Final i nowsze 
  • 4.2.10.Final i nowsze  

Źródło

Opis podatności CVE-2026-35229

CVSS 3.1:7,5(High)

Jak działa podatnośc

Podatność komponentu Java VM w Oracle Database polega na możliwym obejściu mechanizmów izolacji oraz kontroli dostępu w środowisku Java działającym wewnątrz bazy. W efekcie niezautoryzowany użytkownik z dostępem do sieci (Oracle Net) może wywołać specjalnie spreparowane żądania, które podniosą jego uprawnienia w obrębie Java VM oraz pozwolą na dostęp do danych przetwarzanych przez komponent Java.

Podatne systemy

Oracle Database z wbudowaną Java VM, w wersjach:

  • 19c: 19.3 – 19.30
  • 21c: 21.3 – 21.21 1

Rekomendowane działania

Instalacja Critical Patch April CPU 2026 lub nowszej.

Źródło