Oracle lança primeiro patch mensal e corrige 35 falhas, sendo 11 críticas
Aprofundamento CEVIU
Aprofundamento
A Oracle não lançou só mais um patch: inaugurou um novo ritmo de resposta a ameaças com o primeiro Critical Security Patch Update (CSPU) mensal, divulgado em 28 de maio de 2026, dois dias antes da data oficial do comunicado (2 de junho). A mudança é estrutural: até então, atualizações críticas seguiam apenas o ciclo trimestral dos CPUs, que ainda continuam, mas agora são complementados por correções mensais para ambientes autogerenciados. O objetivo é fechar brechas de alto risco antes que se tornem alvo de exploração ativa, como já ocorre com outras falhas Oracle listadas pela CISA, como a CVE-2024-21182 no WebLogic Server, que está sendo explorada há meses.
O CSPU inaugural corrige 35 vulnerabilidades, com foco pesado no Oracle REST Data Services (ORDS), que recebeu 11 patches, quase um terço do total. Sete dessas falhas no ORDS podem ser exploradas remotamente sem autenticação, incluindo a CVE-2026-46840, com CVSS 10.0. Ela permite que um atacante, com acesso à rede via HTTPS, assuma controle total do serviço, comprometendo dados, configurações e disponibilidade. Apesar de não haver exploit público conhecido para essa vulnerabilidade específica, três outras críticas corrigidas neste lote já têm PoCs disponíveis, como a CVE-2026-2332, também no ORDS.
O que mudou
Antes do CSPU, a Oracle dependia exclusivamente dos CPUs trimestrais para correções críticas, como o de abril de 2026, que lançou 34 patches críticos entre 241 CVEs. Agora, há um canal paralelo mensal com prioridade técnica: o CSPU foi criado para acelerar a entrega de correções em produtos com alta exposição à internet, como ORDS e E-Business Suite, e é impulsionado por ferramentas internas de IA para análise automatizada de código e detecção de vulnerabilidades. Isso representa uma mudança operacional real, não só de comunicação: o próximo CSPU já está marcado para 16 de junho, menos de duas semanas após o primeiro.
Por que isso importa
Empresas que usam Oracle em ambientes on-premises ou híbridos não podem mais adiar atualizações sob o argumento de 'esperar o próximo CPU'. Com sete falhas críticas no ORDS exploráveis remotamente sem autenticação, o risco de comprometimento direto de APIs expostas à internet é imediato, especialmente porque o ORDS é frequentemente usado como camada de integração entre aplicações legadas e serviços modernos. A falta de aplicação rápida desse CSPU coloca infraestruturas inteiras em risco, não só o serviço afetado. Além disso, a Oracle já observa tentativas reais de exploração pós-patch em outros produtos, o que indica que o tempo entre divulgação e aplicação é agora o principal vetor de ataque.
Linha do tempo
CISA lista CVE-2024-21182 (WebLogic Server) como vulnerabilidade explorada ativamente
GitHub Enterprise Server lança versão 3.20.3 com correções críticas para falhas de escalonamento de privilégios
Palo Alto Networks alerta sobre exploração ativa de bypass de autenticação na GlobalProtect
Oracle lança primeiro Critical Security Patch Update mensal com 35 correções, incluindo CVE-2026-46840 (CVSS 10.0)
Perguntas frequentes
O que é o CSPU e como ele difere do CPU trimestral?
O CSPU (Critical Security Patch Update) é um novo ciclo mensal de correções de segurança lançado pela Oracle em maio de 2026. Diferente do CPU trimestral, que abrange centenas de vulnerabilidades em múltiplos produtos, o CSPU foca em falhas críticas de alto impacto em componentes com maior exposição, como ORDS e E-Business Suite, e é destinado principalmente a ambientes autogerenciados.
Por que a CVE-2026-46840 merece atenção imediata?
É uma falha de desvio de gateway sem autenticação no Oracle REST Data Services, com CVSS 10.0. Permite que um atacante não autenticado, com acesso à rede via HTTPS, assuma controle total do serviço, incluindo leitura, modificação e exclusão de dados confidenciais, além de interrupção de funcionalidades essenciais.
Meus sistemas Oracle estão na nuvem gerenciada pela Oracle. Preciso agir?
Não é necessário intervenção manual: clientes de serviços Oracle Cloud Infrastructure (OCI) gerenciados recebem as atualizações do CSPU automaticamente. Mas é fundamental verificar se os ambientes de front-end, como load balancers ou gateways de API, estão configurados para repassar os headers e certificados necessários ao funcionamento seguro do ORDS pós-patch.
Já há exploits públicos para as falhas corrigidas nesse CSPU?
Sim. Três das 11 vulnerabilidades críticas, CVE-2025-15467, CVE-2025-58050, CVE-2026-25646 (no Oracle Communications Unified Assurance) e CVE-2026-2332 (no ORDS), já têm códigos de exploração (PoC) publicados. Isso eleva o risco de ataques automatizados nas próximas semanas.
Fontes
- csoonline.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 02 de junho de 2026
- Editoria
- CEVIU Segurança da Informação
