Volgens Defused Cyber wordt een kritieke beveiligingsfout die gevolgen heeft voor Oracle E-Business Suite in het wild actief uitgebuit.
De kwetsbaarheid, bijgehouden als CVE-2026-46817 (CVSS-score: 9,8), verwijst naar een onjuist privilegebeheer en authenticatiefout in Oracle Payments die misbruikt zou kunnen worden om gevoelige instances over te nemen.
“Een gemakkelijk te exploiteren kwetsbaarheid zorgt ervoor dat niet-geverifieerde aanvallers met netwerktoegang via HTTP Oracle Payments kunnen compromitteren”, aldus een beschrijving van de fout in de NIST National Vulnerability Database (NVD). “Succesvolle aanvallen op dit beveiligingslek kunnen resulteren in de overname van Oracle Payments.”
De tekortkoming heeft gevolgen voor versies van 12.2.3 tot en met 12.2.15. Patches voor de fout zijn vorige maand door Oracle uitgebracht als onderdeel van de Critical Security Patch Update.
CVE-2026-46817 is sindsdien actief geëxploiteerd, waarbij Defused Cyber maandag opmerkte dat “we dit weekend een actor hebben waargenomen die de kwetsbaarheid in onze Oracle E-Business-honingpots misbruikt”, en voegde eraan toe dat “van deze kwetsbaarheid geen eerdere exploitatie bekend is en dat er geen openbare PoC-code (proof-of-concept) bestaat.”
Dat gezegd hebbende, zijn er momenteel geen details beschikbaar over hoe het beveiligingslek wordt uitgebuit, wie er achter zit en of het deel uitmaakt van een bredere opportunistische of gerichte campagne gericht op niet-gepatchte systemen.
Eind vorig jaar werd een andere kritieke fout in hetzelfde product (CVE-2025-61882, CVSS-score: 9,8) bewapend door bedreigingsactoren die verband hielden met de Cl0p-ransomware-operatie, waarbij vroege aanvallen al in augustus 2025 werden gelanceerd.
Eerder deze maand heeft het bedrijf een kritieke zero-day-kwetsbaarheid voor authenticatie in PeopleSoft Suite aangepakt (CVE-2026-35273, CVSS-score: 9,8), die actief werd misbruikt bij ShinyHunters-aanvallen op het gebied van gegevensdiefstal en afpersing.
Autofabrikant Nissan heeft sindsdien erkend dat het een van de getroffenen was en verklaarde dat het het slachtoffer was van een inbraak waarbij gebruik werd gemaakt van de PeopleSoft-fout, waardoor mogelijk loongegevens, bankgegevens, burgerservicenummers en andere persoonlijke en financiële gegevens van zijn werknemers in de VS, Canada, Mexico en Brazilië openbaar werden.
“Wat opviel was dat CVE-2026-35273 niet zomaar een triviale, gemakkelijk te exploiteren kwetsbaarheid met één verzoek is”, zegt Jake Knott, hoofdbeveiligingsonderzoeker bij watchTowr, in een verklaring. “De aanvalsketen is aanzienlijk ingewikkelder en combineert meerdere kwetsbaarheden om een kwaadaardig bestand te plaatsen dat niet onmiddellijk wordt uitgevoerd, maar wacht tot de server opnieuw opstart.”
“Waar we normaal gesproken eenvoudige bugs zien, is dit een keten van meerdere kwetsbaarheden, wat doet denken aan een bedreigingsacteur met echte kennis van en bekendheid met de onderliggende codebase, en het vermogen om gerichte mogelijkheden hiertegen te ontwikkelen.”
Knott wees er ook op dat bedreigingsactoren kwetsbaarheden sneller dan ooit tevoren uitbuiten, en dringt er bij organisaties op aan om compromissen te sluiten en incidentresponsprocessen te activeren om te bepalen of toegang werd verkregen voordat patches werden toegepast, waartoe toegang werd verkregen en of er sprake was van persistentie.
