CRITICAL🇬🇧 English

CVE-2026-46775

Krytyczna podatność w Oracle REST Data Services umożliwiająca przejęcie kontroli

CVSS 9.9v3.1pub. 2026-05-28upd. 2026-06-03

Podatność w komponencie Core systemu Oracle REST Data Services (wersje 24.2.0–26.1.0) pozwala niskouprzywilejowanemu atakującemu z dostępem sieciowym przez HTTPS na całkowite przejęcie kontroli nad usługą. Wysoki wynik CVSS 9.9 odzwierciedla krytyczny wpływ na poufność, integralność i dostępność, również w kontekście innych produktów (scope change).

Pokaż oryginał (EN)

Vulnerability in Oracle REST Data Services (component: Core). Supported versions that are affected are 24.2.0-26.1.0. Easily exploitable vulnerability allows low privileged attacker with network access via HTTPS to compromise Oracle REST Data Services. While the vulnerability is in Oracle REST Data Services, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle REST Data Services. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).

🤖 Analiza AI
Jak działa

Atakujący posiadający jedynie podstawowe uprawnienia sieciowe może za pośrednictwem protokołu HTTPS wykorzystać podatność w komponencie Core Oracle REST Data Services bez konieczności interakcji ze strony użytkownika. Podatność jest łatwa do wykorzystania (niska złożoność ataku). Skuteczny atak może wyjść poza granice bezpośrednio atakowanego produktu i wpłynąć na inne, powiązane systemy (zmiana zakresu).

Skutki

Atakujący może całkowicie przejąć kontrolę nad Oracle REST Data Services, uzyskując pełny dostęp do danych (naruszenie poufności), możliwość ich modyfikacji (naruszenie integralności) oraz zdolność do wywołania niedostępności usługi (naruszenie dostępności). Atak może również negatywnie oddziaływać na inne produkty połączone z podatną usługą.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — Oracle Critical Patch Update z maja 2026 roku (https://www.oracle.com/security-alerts/cspumay2026.html). Zaleca się niezwłoczną aktualizację do wersji objętej poprawką bezpieczeństwa.

Kogo dotyczy

Oracle REST Data Services, komponent Core, wersje 24.2.0 do 26.1.0 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Oracle Rest Data Services

    APP
    Oracle
    24.2.0 – 26.1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
DoS
CWE
Referencje

Powiązane podatności

CVE-2026-46839CRITICAL9.9PL ✓ten sam produkt

Krytyczna podatność w Oracle REST Data Services — przejęcie kontroli

CVE-2026-46840CRITICAL10.0PL ✓ten sam produkt

Krytyczna podatność w Oracle REST Data Services — przejęcie kontroli bez uwierzytelnienia

CVE-2017-7657CRITICAL9.8ten sam produkt

In Eclipse Jetty, versions 9.2.x and older, 9.3.x (all configurations), and 9.4.x (non-default configuration w...

CVE-2017-7658CRITICAL9.8ten sam produkt

In Eclipse Jetty Server, versions 9.2.x and older, 9.3.x (all non HTTP/1.x configurations), and 9.4.x (all HTT...

CVE-2026-35266HIGH7.9ten sam produkt

Vulnerability in Oracle REST Data Services (component: Core). Supported versions that are affected are 24.2.0...

CVE-2026-46775 — Krytyczna podatność w Oracle REST Data Services umożliwiająca przejęcie kontroli — CRITICAL 9.9 | CVEbaza.pl