Oracle E-Business Suite serait déjà visé par des attaques exploitant CVE-2026-46817, une vulnérabilité critique notée 9,8 sur 10. Aucun compte, privilège préalable ou clic d’un employé ne serait nécessaire pour prendre le contrôle d’Oracle Payments à distance. Un correctif est disponible depuis le 28 mai 2026, mais plusieurs centaines d’installations restent accessibles depuis Internet.
Des tentatives d’exploitation détectées dès le 27 juin
Les premières attaques auraient été observées pendant le week-end des 27 et 28 juin 2026. La société de renseignement sur les menaces Defused affirme avoir détecté ces tentatives sur ses honeypots, des serveurs volontairement exposés pour repérer les activités malveillantes.
Au moment de ces observations, aucun code d’exploitation public n’était connu. L’attaquant détecté pourrait donc disposer de sa propre méthode pour exploiter la vulnérabilité.
Oracle n’a pas encore indiqué officiellement que CVE-2026-46817 était exploitée dans des attaques réelles. La CISA n’a pas non plus ajouté la faille à son catalogue des vulnérabilités exploitées. Les observations de Defused constituent donc, à ce stade, le principal signal public d’une exploitation active.
Aucun mot de passe n’est nécessaire
CVE-2026-46817 se trouve dans le composant File Transmission d’Oracle Payments, intégré à Oracle E-Business Suite. Elle peut être exploitée à distance au moyen du protocole HTTP.
L’attaque ne demande aucune authentification, aucun privilège préalable et aucune intervention d’un utilisateur. Sa complexité est considérée comme faible.
Une exploitation réussie peut permettre la prise de contrôle d’Oracle Payments et compromettre trois éléments essentiels :
- la confidentialité des informations ;
- l’intégrité des données et des opérations ;
- la disponibilité du service.
Oracle Payments gère notamment des processus financiers et des transferts de fichiers associés aux paiements. Une intrusion peut donc atteindre une partie particulièrement sensible du système d’information d’une entreprise.
Oracle E-Business Suite 12.2.3 à 12.2.15 est touché
La faille affecte les versions prises en charge d’Oracle E-Business Suite 12.2.3 à 12.2.15.
Oracle l’a corrigée dans son Critical Security Patch Update du 28 mai 2026. Cette mise à jour traitait douze vulnérabilités dans Oracle E-Business Suite, dont trois exploitables à distance sans authentification.
La présence d’un correctif ne garantit pas que tous les systèmes sont protégés. Certaines organisations retardent les mises à jour de leurs applications critiques afin d’éviter une incompatibilité, une interruption de service ou une perturbation des processus financiers.
Oracle rappelle régulièrement que des attaques réussissent sur des systèmes pour lesquels un correctif était déjà disponible, mais n’avait pas été installé.
Plus de 450 installations resteraient exposées
Plus de 450 installations d’Oracle E-Business Suite seraient actuellement visibles sur Internet. Près de 200 se trouveraient aux États-Unis ou en Europe.
Ce nombre ne correspond pas forcément au nombre exact de serveurs vulnérables. Certaines instances accessibles en ligne peuvent déjà avoir reçu le correctif. D’autres systèmes absents des scans publics peuvent rester exposés par l’intermédiaire d’une configuration réseau différente.
Une instance directement accessible depuis Internet présente malgré tout un risque plus élevé. Une faille exploitable par HTTP, sans identifiant et avec une faible complexité peut rapidement être intégrée à des campagnes automatisées.
Les entreprises doivent vérifier chaque instance Oracle
Les équipes informatiques doivent commencer par recenser toutes les installations d’Oracle E-Business Suite et identifier les versions comprises entre 12.2.3 et 12.2.15.
Le correctif associé à CVE-2026-46817 doit être installé sur chaque instance concernée. Les administrateurs doivent aussi confirmer que les mises à jour de sécurité de mai et juin 2026 ont bien été appliquées sur l’ensemble de l’environnement, y compris les serveurs secondaires et les systèmes de test.
L’accès HTTP et HTTPS doit être limité aux utilisateurs, applications et équipements autorisés. Une instance Oracle EBS ne devrait pas être directement exposée sur Internet lorsque cet accès n’est pas indispensable.
Les journaux doivent être examinés depuis le 27 juin 2026 au minimum. Les équipes de sécurité doivent rechercher des connexions inhabituelles, des requêtes HTTP suspectes, des modifications de fichiers et des opérations anormales dans Oracle Payments.
Tout serveur présentant des signes de compromission doit être isolé rapidement. Les journaux et fichiers utiles à l’analyse doivent être conservés afin de ne pas supprimer d’éventuelles preuves.
Restreindre les accès ne remplace pas le correctif
Le blocage des protocoles réseau utilisés par l’attaque peut réduire temporairement l’exposition. Cette mesure peut aussi perturber certaines fonctions d’Oracle E-Business Suite et doit être testée sur un environnement hors production.
Elle ne remplace pas l’installation du correctif. La priorité consiste désormais à vérifier que la mise à jour du 28 mai 2026 a réellement été déployée sur chaque système concerné.
L’exploitation active n’a pas encore été confirmée publiquement par Oracle ou par la CISA. Le niveau de risque reste malgré tout très élevé : la vulnérabilité affiche un score de 9,8 sur 10, ne demande aucune authentification et permet une compromission à distance d’Oracle Payments.
Sources
Rapport sur les premières tentatives d’exploitation
Eric Thomas suit l’actualité de Windows, des logiciels, de la cybersécurité grand public et des outils web. Il s’intéresse aux mises à jour système, aux nouveautés informatiques et aux solutions pratiques qui améliorent l’expérience numérique au quotidien.
