Una vulnerabilidad crítica identificada como CVE-2026-46817 está siendo explotada activamente contra implementaciones de Oracle E-Business Suite (EBS), según alertas difundidas por la empresa de inteligencia sobre amenazas Defused y respaldadas por diversos investigadores de seguridad.La falla afecta al componente File Transmission de Oracle Payments y permite que un atacante no autenticado, con acceso a la aplicación mediante HTTP, comprometa completamente las instancias vulnerables. Oracle publicó la corrección como parte de su Critical Security Patch Update de mayo de 2026.
De acuerdo con la descripción oficial de la vulnerabilidad publicada en la National Vulnerability Database (NVD), esta afecta a las versiones 12.2.3 a 12.2.15 de Oracle E-Business Suite y posee una puntuación CVSS 9.8, considerada crítica.
El registro indica que la vulnerabilidad es «fácilmente explotable» y que un atacante remoto sin autenticación puede comprometer Oracle Payments. En palabras de la descripción oficial, la vulnerabilidad «permite que un atacante no autenticado con acceso de red mediante HTTP comprometa Oracle Payments».
La actividad maliciosa fue detectada por Defused durante el último fin de semana de junio. La firma informó haber observado ataques reales contra sus honeypots de Oracle E-Business Suite y señaló que no existían antecedentes públicos de explotación ni código de prueba disponible.
En paralelo, la organización Shadowserver informó que actualmente ha identificado aproximadamente 950 instancias de Oracle E-Business Suite accesibles desde internet. La entidad aclaró que esa cifra corresponde únicamente a sistemas expuestos y no determina cuáles permanecen vulnerables o ya recibieron las actualizaciones de seguridad. La fundación indicó que mejoró su identificación de estos sistemas mediante nuevos escaneos basados en dominios, desarrollados en colaboración con Validin.
Una revisión en el dashboard habilitado por Shadowserver permite visualizar que más de la mitad de las instancias expuestas se concentran en los Estados Unidos (503). India con 62 y China con 56 siguen en el recuento. En el caso de América Latina, Brasil contabiliza 10 exposiciones, seguida por Chile con 8, México con 6, Argentina con 3, Colombia con 2 y Perú con 1.
El boletín de seguridad de Oracle confirma que el parche para CVE-2026-46817 forma parte de un paquete que incorpora 12 actualizaciones de seguridad para Oracle E-Business Suite, incluyendo tres vulnerabilidades que pueden explotarse remotamente sin autenticación.En la matriz de riesgo publicada por la compañía, CVE-2026-46817 aparece como una vulnerabilidad con impacto potencial sobre la confidencialidad, integridad y disponibilidad del sistema.
Este incidente se suma a otros eventos recientes relacionados con productos Oracle. Durante junio, la compañía corrigió el zero-day CVE-2026-35273 en PeopleSoft, posteriormente vinculado a ataques atribuidos al grupo ShinyHunters, mientras que vulnerabilidades anteriores en Oracle E-Business Suite también fueron utilizadas en campañas dirigidas contra organizaciones de distintos sectores.Los investigadores coinciden en que la disponibilidad del parche y la evidencia de explotación activa convierten la actualización de los sistemas afectados en una medida prioritaria.


