Oracle heeft kritieke lekken gedicht in Oracle E‑Business Suite (EBS) die meerdere modules raken in versies 12.2.3 t/m 12.2.15. Het gaat onder meer om Oracle Payments, Internet Procurement Connector, Financials Common Modules, iAssets, Public Sector Financials (International), Universal Work Queue, Payroll en Flow Manufacturing. In verschillende gevallen kan een aanvaller met (zeer) lage privileges en via HTTP(S) op afstand systemen binnendringen, gevoelige data manipuleren of zelfs volledige overname forceren. Bij enkele lekken is misbruik mogelijk zonder enige authenticatie. (oracle.com)

De risico’s zijn niet mals. Zo kent Oracle Payments een bug met een CVSS‑score 9.8 (pre‑auth, via HTTP) en kunnen kwetsbaarheden in iAssets en Universal Work Queue uitmonden in volledige controle over de betrokken module (CVSS 9.9). Andere issues laten ongeautoriseerd aanmaken/wijzigen/verwijderen van data toe of zorgen voor brede “scope change”, waardoor impact verder reikt dan de oorspronkelijke module. (oracle.com)

De meeste problemen treffen EBS‑installaties op 12.2.3 t/m 12.2.15. Voor enkele onderdelen gelden nuances: zo is Public Sector Financials (International) geraakt vanaf 12.2.6 en Flow Manufacturing vanaf 12.2.9. (oracle.com)

Belangrijke context: deze fixes volgen kort na de reguliere Critical Patch Update (CPU) van 21 april 2026, die alleen al voor E‑Business Suite 18 nieuwe patches bracht, waarvan een deel op afstand en zonder authenticatie te misbruiken was. Denk aan verbeteringen in o.a. iProcurement (ECC), Advanced Supply Chain Planning en Flow Manufacturing. Oracle benadrukt daarbij dat ook de onderliggende Database‑ en Fusion Middleware‑componenten in EBS up‑to‑date moeten zijn, omdat kwetsbaarheden daarin de EBS‑exposure beïnvloeden. (oracle.com)

Waarom dit ertoe doet: E‑Business Suite is de afgelopen tijd actief aangevallen. In oktober 2025 bracht Oracle zelfs een extra Security Alert uit voor een EBS‑zero‑day (CVE‑2025‑61882) die door afpersers werd misbruikt, waarna dringende patches beschikbaar kwamen. Die episode onderstreept dat snel patchen loont en dat criminelen EBS‑omgevingen nadrukkelijk in het vizier hebben. (oracle.com)

Tot slot: Oracle levert EBS 12.2 volgens het “Continuous Innovation”-model door, met 12.2.15 als actuele release en Premier Support tot minstens 2037. In 2026 introduceerde Oracle bovendien “Critical Security Patch Updates” (CSPU) om tussen de kwartaal‑CPU’s door zeer urgente fixes uit te rollen; de eerste CSPU verscheen op 28 mei 2026 en bevatte juist de hierboven beschreven EBS‑lekken. (blogs.oracle.com)

Aanbevolen actie voor beheerders

• Patch zo snel mogelijk: installeer de CSPU van 28 mei 2026 én de CPU van 21 april 2026 voor EBS, en werk óók de Oracle Database- en Fusion Middleware‑componenten binnen EBS bij. (oracle.com)
• Beperk blootstelling: zet EBS‑webendpoints niet onnodig open op internet, dwing TLS af, en filter verkeer (WAF/reverse proxy).
• Versterk toegangscontrole: minimaliseer privileges, schakel niet‑benodigde modules uit en draai periodiek account‑reviews.
• Monitor en reageer: controleer webserver‑ en applicatielogs op afwijkingen (onverwachte POST/GET‑patronen, nieuwe webshells), en voer indien nodig forensische checks uit.

Kernboodschap: draai je EBS‑omgeving op 12.2.x? Plan dan onmiddellijk onderhoud in en werk alles bij. De recent gepubliceerde fixes pakken concreet misbruikbare, op afstand te triggeren kwetsbaarheden aan die vertrouwelijkheid, integriteit en beschikbaarheid direct raken. (oracle.com)

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.