Компания Defused Cyber в понедельник сообщила о том, что зафиксировала активную эксплуатацию уязвимости CVE-2026-46817 в Oracle E-Business Suite — и произошло это прямо в выходные, на их собственных honeypot-системах, имитирующих реальную инфраструктуру. Oracle выпустила патч в рамках Critical Security Patch Update ещё месяц назад, NIST успел внести запись в National Vulnerability Database, однако кто именно стоит за атаками, каким именно способом они проводятся и носит ли кампания целенаправленный или оппортунистический характер — всё это пока неизвестно.

CVE-2026-46817 затрагивает модуль Oracle Payments в версиях с 12.2.3 по 12.2.15. CVSS-оценка — 9.8, то есть критический уровень. Суть проблемы: некорректное управление привилегиями в сочетании с обходом аутентификации. Неаутентифицированный злоумышленник может получить доступ через HTTP и полностью захватить контроль над Oracle Payments. Публичного proof-of-concept не существует — что само по себе тревожный сигнал: атаки идут, а значит, кто-то разработал эксплойт самостоятельно и не торопится его раскрывать.
Это не первый раз, когда Oracle E-Business Suite оказывается под ударом. Уязвимость CVE-2025-61882 с той же оценкой 9.8 была раскрыта в конце прошлого года, однако группировка Cl0p эксплуатировала её ещё с августа 2025 года. То есть задолго до публичного раскрытия злоумышленники уже работали с этим вектором атаки. Этот паттерн — когда реальные атаки опережают официальное признание проблемы на месяцы — становится нормой, а не исключением.
Параллельно с ситуацией вокруг E-Business Suite разворачивается история с Oracle PeopleSoft Suite. Уязвимость CVE-2026-35273 — zero-day с той же оценкой 9.8 — связана с полным отсутствием аутентификации. Патч был выпущен в начале этого месяца. За атаками стоит группировка ShinyHunters, известная также под идентификатором SHADOW-AETHER-015, специализирующаяся на краже данных и вымогательстве.
Именно CVE-2026-35273 вызывает наибольшее беспокойство у специалистов с технической точки зрения. Аналитики Trend Micro установили, что эксплойт обладает почти полным отсутствием видимости для защитных инструментов. Вредоносный код выполняется через Java XMLDecoder прямо внутри Java Virtual Machine сервера приложений. Срабатывание происходит не при входящем HTTP-запросе, а при перезапуске сервера. Дочерний процесс не требуется, исходящего сигнала нет — система выглядит абсолютно штатно для любого, кто за ней наблюдает снаружи.
Джейк Нотт, principal security researcher компании watchTowr, описал механику атаки подробнее. По его словам, это не банальная однозапросная уязвимость: атака строится как цепочка нескольких слабых мест, которые в совокупности дают нужный результат. Злоумышленник помещает вредоносный файл в систему, но тот не выполняется сразу — он ждёт следующего перезапуска сервера. Это говорит о глубоком понимании кодовой базы PeopleSoft и способности разрабатывать точечные инструменты под конкретную цель.
Среди подтверждённых жертв CVE-2026-35273 — Nissan. Автопроизводитель официально признал факт компрометации. Под угрозой оказались платёжные ведомости, банковские реквизиты, номера социального страхования и другие персональные и финансовые данные сотрудников компании в США, Канаде, Мексике и Бразилии.
Три уязвимости — CVE-2026-46817, CVE-2025-61882 и CVE-2026-35273 — объединяет не только одинаковая оценка CVSS 9.8. Все они активно эксплуатируются или эксплуатировались реальными угрозами: неизвестным актором, группировкой Cl0p и ShinyHunters соответственно. Oracle E-Business Suite и PeopleSoft Suite атакуются одновременно, причём по разным векторам и с разной степенью изощрённости.
Джейк Нотт формулирует рекомендацию жёстко: не ждать подтверждения факта взлома, а исходить из того, что компрометация уже произошла. Немедленно запускать процессы реагирования на инциденты. Разбираться с тем, был ли получен доступ до применения патчей, какие данные затронуты и не закрепился ли злоумышленник в инфраструктуре. Его же слова о темпе атак: угрозы эксплуатируют уязвимости быстрее, чем когда-либо раньше. Организации, работающие на непропатченных системах Oracle, должны относиться к себе как к уже скомпрометированным — потому что, по всей видимости, так оно и есть.

Изображение носит иллюстративный характер
CVE-2026-46817 затрагивает модуль Oracle Payments в версиях с 12.2.3 по 12.2.15. CVSS-оценка — 9.8, то есть критический уровень. Суть проблемы: некорректное управление привилегиями в сочетании с обходом аутентификации. Неаутентифицированный злоумышленник может получить доступ через HTTP и полностью захватить контроль над Oracle Payments. Публичного proof-of-concept не существует — что само по себе тревожный сигнал: атаки идут, а значит, кто-то разработал эксплойт самостоятельно и не торопится его раскрывать.
Это не первый раз, когда Oracle E-Business Suite оказывается под ударом. Уязвимость CVE-2025-61882 с той же оценкой 9.8 была раскрыта в конце прошлого года, однако группировка Cl0p эксплуатировала её ещё с августа 2025 года. То есть задолго до публичного раскрытия злоумышленники уже работали с этим вектором атаки. Этот паттерн — когда реальные атаки опережают официальное признание проблемы на месяцы — становится нормой, а не исключением.
Параллельно с ситуацией вокруг E-Business Suite разворачивается история с Oracle PeopleSoft Suite. Уязвимость CVE-2026-35273 — zero-day с той же оценкой 9.8 — связана с полным отсутствием аутентификации. Патч был выпущен в начале этого месяца. За атаками стоит группировка ShinyHunters, известная также под идентификатором SHADOW-AETHER-015, специализирующаяся на краже данных и вымогательстве.
Именно CVE-2026-35273 вызывает наибольшее беспокойство у специалистов с технической точки зрения. Аналитики Trend Micro установили, что эксплойт обладает почти полным отсутствием видимости для защитных инструментов. Вредоносный код выполняется через Java XMLDecoder прямо внутри Java Virtual Machine сервера приложений. Срабатывание происходит не при входящем HTTP-запросе, а при перезапуске сервера. Дочерний процесс не требуется, исходящего сигнала нет — система выглядит абсолютно штатно для любого, кто за ней наблюдает снаружи.
Джейк Нотт, principal security researcher компании watchTowr, описал механику атаки подробнее. По его словам, это не банальная однозапросная уязвимость: атака строится как цепочка нескольких слабых мест, которые в совокупности дают нужный результат. Злоумышленник помещает вредоносный файл в систему, но тот не выполняется сразу — он ждёт следующего перезапуска сервера. Это говорит о глубоком понимании кодовой базы PeopleSoft и способности разрабатывать точечные инструменты под конкретную цель.
Среди подтверждённых жертв CVE-2026-35273 — Nissan. Автопроизводитель официально признал факт компрометации. Под угрозой оказались платёжные ведомости, банковские реквизиты, номера социального страхования и другие персональные и финансовые данные сотрудников компании в США, Канаде, Мексике и Бразилии.
Три уязвимости — CVE-2026-46817, CVE-2025-61882 и CVE-2026-35273 — объединяет не только одинаковая оценка CVSS 9.8. Все они активно эксплуатируются или эксплуатировались реальными угрозами: неизвестным актором, группировкой Cl0p и ShinyHunters соответственно. Oracle E-Business Suite и PeopleSoft Suite атакуются одновременно, причём по разным векторам и с разной степенью изощрённости.
Джейк Нотт формулирует рекомендацию жёстко: не ждать подтверждения факта взлома, а исходить из того, что компрометация уже произошла. Немедленно запускать процессы реагирования на инциденты. Разбираться с тем, был ли получен доступ до применения патчей, какие данные затронуты и не закрепился ли злоумышленник в инфраструктуре. Его же слова о темпе атак: угрозы эксплуатируют уязвимости быстрее, чем когда-либо раньше. Организации, работающие на непропатченных системах Oracle, должны относиться к себе как к уже скомпрометированным — потому что, по всей видимости, так оно и есть.