Oracle ha publicado su primera Critical Security Patch Update (CSPU), que corrige 35 vulnerabilidades de seguridad en múltiples productos empresariales, incluyendo Oracle Database Server, Oracle REST Data Services (ORDS), Oracle Communications Unified Assurance, Oracle E-Business Suite y Oracle Hospitality OPERA 5.
El CSPU es un nuevo modelo de parcheo concebido como un conjunto reducido y enfocado de correcciones de alta prioridad, que complementa los Critical Patch Updates (CPU) trimestrales existentes y permite remediar problemas críticos con mayor rapidez entre los lanzamientos acumulativos mayores. Este CSPU, publicado el 28 de mayo de 2026, inaugura el ciclo de parcheo mensual de Oracle, con futuras entregas previstas para la mayoría de los terceros martes de cada mes.
Las correcciones cubren tanto código propio de Oracle como componentes de terceros embebidos en sus productos, entre ellos Apache Kafka, ActiveMQ, Tomcat, ZooKeeper, MySQL, PCRE2, libpng y Apache HTTP Server.
Entre las vulnerabilidades corregidas se encuentran fallas críticas explotables de forma remota y sin autenticación mediante protocolos como TLS y HTTPS, con impacto potencial sobre la confidencialidad, integridad y disponibilidad de los sistemas afectados. Oracle recomienda la aplicación inmediata de las actualizaciones para reducir la exposición a ataques.
CVE y severidad
| CVE | Producto/Componente | Severidad (CVSS v3.1 base) | Descripción |
|---|---|---|---|
| CVE-2026-46833 CVE-2026-46834 CVE-2026-46835 | Oracle Database Server (Net Service) | No especificado individualmente (Alta) | Vulnerabilidad explotable remotamente mediante TLS sin autenticación. |
| CVE-2026-46840 | Oracle REST Data Services (ORDS) – Backend-as-a-Service | 10.0 (Crítica) | Permite compromiso completo de confidencialidad, integridad y disponibilidad a través de HTTPS sin autenticación. |
| CVE-2026-34311 | Oracle Hospitality OPERA 5 Property Services | 9.8 (Crítica) | Vulnerabilidad crítica explotable remotamente que afecta múltiples versiones 5.6.x de OPERA 5. |
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas |
|---|---|---|---|
| Oracle | Oracle Database Server | Net Service | 23.4.0 a 23.26.2 |
| Oracle | Oracle REST Data Services (ORDS) | Core, Backend-as-a-Service, MongoAPI, Eclipse Jetty | 24.2.0 a 26.1.0 |
| Oracle | Oracle Communications Unified Assurance | Servicios web y mensajería | 6.1.1 a 7.0.0 |
| Oracle | Oracle E‑Business Suite | Módulos Payments, Payroll, iAssets, Flow Manufacturing, Financials Common Modules | 12.2.3 a 12.2.15 |
| Oracle | Oracle Hospitality OPERA 5 Property Services | Núcleo del producto | Múltiples versiones 5.6.x |
Nota: La afectación exacta depende de la versión instalada y de los componentes habilitados en cada entorno. Se recomienda validar contra la matriz de riesgo oficial de Oracle.
Solución
Aplicar inmediatamente la Actualización Crítica de Seguridad (CSPU) publicada el 28 de mayo de 2026 para todas las versiones compatibles.
Aplicar la Oracle Critical Security Patch Update (CSPU) publicada el 28 de mayo de 2026, siguiendo las guías oficiales de actualización y validando la compatibilidad con los componentes desplegados en cada entorno.
La referencia primaria, con vulnerabilidades puntuadas con CVSS, avisos detallados, matrices de riesgo y feeds CSAF para gestión automatizada, está disponible en el Oracle Security Alert oficial.
Importante: Aunque es posible reducir el riesgo temporalmente bloqueando los protocolos de red afectados o eliminando privilegios innecesarios, Oracle advierte que estas medidas pueden romper la funcionalidad de las aplicaciones y no deben tratarse como sustitutos a largo plazo del parcheo del código subyacente.
Recomendaciones
– Priorizar la aplicación inmediata de la CSPU en sistemas expuestos a Internet.
– Tener presente que las correcciones de Database Server aplican también a instalaciones client-only, no solo a servidores con base de datos completa.
– Realizar respaldos completos antes del proceso de actualización.
– Validar el funcionamiento de aplicaciones y servicios Oracle tras la implementación de los parches.
– Restringir el acceso a interfaces administrativas y servicios Oracle desde redes no confiables.
– Monitorear eventos de autenticación, conexiones TLS y actividad anómala en componentes ORDS, Database Server y OPERA.
– Revisar la exposición de servicios Oracle publicados externamente y aplicar segmentación de red cuando sea posible.
– Inventariar los componentes de terceros embebidos (Apache Kafka, ActiveMQ, Tomcat, ZooKeeper, MySQL, PCRE2, libpng, Apache HTTP Server) para confirmar su cobertura tras el parcheo.
Referencias
- Actualización crítica de seguridad Oracle – Cyber Security News
- Oracle Security Alert
- NVD – CVE-2026-46833
- MITRE – CVE-2026-46833
- NVD – CVE-2026-46834
- MITRE – CVE-2026-46834
- NVD – CVE-2026-46835
- MITRE – CVE-2026-46835
- NVD – CVE-2026-46840
- MITRE – CVE-2026-46840
- NVD – CVE-2026-34311
- MITRE – CVE-2026-34311