Oracle heeft beveiligingslekken gedicht in meerdere onderdelen van Oracle E‑Business Suite (EBS), vooral in versies 12.2.3 t/m 12.2.15. Het gaat onder meer om Oracle Payments, Internet Procurement Connector, Financials Common Modules, iAssets, Public Sector Financials (International), Universal Work Queue, Payroll en Flow Manufacturing. Via HTTP(S) konden aanvallers – soms zelfs zonder inlog, vaak met slechts lage privileges – kritieke acties uitvoeren. Denk aan het volledig overnemen van systemen, het manipuleren of wissen van belangrijke data en het misbruiken van SQL‑injecties. Deze kwetsbaarheden raken daarmee direct de vertrouwelijkheid, integriteit en beschikbaarheid van data en processen. (oracle.com)

In mei 2026 bracht Oracle een tussentijdse Critical Security Patch Update uit met twaalf EBS‑reparaties. Daarbij springen vooral de hoge CVSS‑scores in het oog (tot 9.9). Zo kregen onder meer iAssets (Internal Operations), Universal Work Queue (Work Provider Site Level Administration) en Payments (File Transmission) fixes; enkele issues waren op afstand te misbruiken zonder authenticatie via HTTP of HTTPS. Ook Internet Procurement Connector, Payroll en Financials Common Modules stonden op de lijst. De patches zijn expliciet van toepassing op EBS 12.2.3 t/m 12.2.15. (oracle.com)

Kort daarvoor, op 21 april 2026, verscheen de reguliere kwartaalupdate (Critical Patch Update) met nog eens achttien EBS‑patches; acht daarvan konden op afstand zonder inlog worden misbruikt. Dat onderstreept de urgentie voor organisaties om EBS‑omgevingen structureel en snel bij te werken. Oracle verwijst hiervoor naar de bijbehorende My Oracle Support‑documentatie (KA923) voor de juiste patchvolgorde per omgeving. (oracle.com)

Dat snelheid telt, bleek eerder al: in oktober 2025 waarschuwde Oracle voor een actief misbruikte EBS‑kwetsbaarheid (CVE‑2025‑61882) die gold voor versies 12.2.3 t/m 12.2.14 en zonder authenticatie via het netwerk kon worden uitgebuit. Zulke incidenten laten zien hoe aantrekkelijk EBS is voor aanvallers en waarom achterstallige updates direct risico opleveren. (oracle.com)

Wat betekent dit concreet voor organisaties:

• Patch zo snel mogelijk naar de meest recente updates van mei en april 2026 die voor jouw EBS‑versie beschikbaar zijn. Volg de aanwijzingen in de bijbehorende MOS‑notities. (oracle.com)
• Beperk waar kan de externe toegankelijkheid van EBS‑componenten (met name web‑interfaces) en dwing TLS af.
• Controleer logs en integraties op afwijkingen, zeker bij modules als Payments, Procurement en Payroll waar datakwaliteit en autorisaties cruciaal zijn.

Samengevat: de nu beschikbare patches dichten meerdere zware lekken in EBS‑modules die kritisch zijn voor financiële en operationele processen. Acteren op korte termijn verkleint het risico op datalekken, bedrijfsstilstand en misbruik door aanvallers aanzienlijk. (oracle.com)

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.