Kritisk Oracle EBS-sårbarhed udnyttes nu aktivt

En kritisk sårbarhed i Oracle E-Business Suite (EBS) bliver nu aktivt udnyttet i angreb – kort efter at Oracle udsendte patches. Sårbarheden gør det muligt at kompromittere systemer uden autentifikation.

Det skriver Bleeping Computer. 

Ifølge trusselsanalysefirmaet Defused er EUVD-2026-33040 / CVE-2026-46817 blevet observeret i angreb mod honeypots hen over weekenden. Sårbarheden har en CVSS-score på CVSS 9,8. EPSS er pt. sat til 0,42 pct.

Fejlen ligger i File Transmission-komponenten i Oracle Payments og kan udnyttes via HTTP uden login. Resultatet er i praksis fuld systemovertagelse.

Der findes endnu ingen offentlig exploit-kode, og sårbarheden har ikke tidligere været set udnyttet – men det har ikke forsinket angriberne.

Patch findes – men eksponeringen består

Oracle rettede sårbarheden i maj 2026 og opfordrede til øjeblikkelig patching. Erfaringen viser dog, at mange installationer ikke opdateres i tide og netop det mønster gentager sig her.

Oracle EBS har tidligere været ramt af kampagner, hvor sårbarheder bliver udnyttet kort efter offentliggørelse, især i interneteksponerede miljøer. [cert.dk]

Hundredevis af eksponerede instanser

Over 450 Oracle EBS-installerede systemer er fortsat eksponeret direkte mod internettet, ifølge Shadowserver.

Det er uklart, hvor mange der er patchet.

Manglen på overblik gør det svært at vurdere omfanget – men historisk har eksponering ofte været lig med kompromittering.

Sårbarhedens udnyttelse følger et velkendt spor:

• Pre-auth adgang via HTTP
• Lav kompleksitet
• Høj impact (takeover)
• Hurtig exploitation efter patch

Tidligere kampagner viser, at angribere systematisk scanner efter ikke-opdaterede EBS-installationer og udnytter dem målrettet.