Корпорация Oracle представила масштабный пакет обновлений безопасности — April 2026 Critical Patch Update (CPU), содержащий 481 исправление для 28 линеек продуктов.
Согласно официальным данным, свыше 300 патчей нацелены на нейтрализацию угроз, позволяющих злоумышленникам действовать удаленно без необходимости авторизации. Около 30 исправлений закрывают наиболее опасные критические бреши. В общей сложности обновление охватывает примерно 450 уникальных CVE-идентификаторов.
Некоторые уязвимости носят сквозной характер и затрагивают сразу несколько программных решений, что объясняет наличие одного и того же CVE в различных продуктах. Кроме того, Oracle интегрировала ряд сторонних исправлений, не относящихся к собственному коду компании.
Наиболее объемный блок обновлений получил продукт Oracle Communications (139 патчей, из которых 93 направлены на устранение удаленных векторов атак). Следом идут Financial Services Applications (75 патчей, 59 — критические удаленные уязвимости) и Fusion Middleware (59 патчей, 46 — удаленная эксплуатация без аутентификации).
Значимые изменения также были внесены в MySQL (34 патча), PeopleSoft (21), E-Business Suite (18), Analytics (15), Retail Applications (15), Siebel CRM (14), а также в Java SE, Enterprise Manager, GoldenGate и прочие корпоративные платформы вендора.
Примечательно, что порядка 390 закрытых уязвимостей были преданы огласке в течение последних двух лет. Большая часть оставшихся брешей относится к периоду 2022–2024 годов, однако 5 уязвимостей были выявлены еще в 2020–2021 годах.
Данный апдейт был выпущен спустя месяц после экстренного обновления, исправляющего критическую уязвимость CVE-2026-21992, которая позволяла удаленно выполнять произвольный код в Identity Manager и Web Services Manager.
Источник: iXBT
