Tin tức bảo mật về Oracle cho thấy hãng đã phát hành Critical Security Patch Update (CSPU) đầu tiên, cung cấp 35 bản vá bảo mật mới cho các lỗ hổng nghiêm trọng trên nhiều dòng sản phẩm. Bản cập nhật này ảnh hưởng đến Oracle Database, Oracle REST Data Services, Oracle Communications Unified Assurance, Oracle E-Business Suite và Oracle Hospitality OPERA 5.
Oracle CSPU Và Mô Hình Vá Lỗi Hàng Tháng
CSPU được thiết kế như một tập hợp nhỏ hơn, tập trung vào các bản sửa lỗi ưu tiên cao, bổ sung cho chu kỳ Critical Patch Updates (CPUs) hàng quý. Mục tiêu là giảm thời gian xử lý lỗ hổng CVE quan trọng giữa các đợt phát hành tổng hợp lớn.
Bản phát hành ngày 28/05/2026 đánh dấu lần đầu Oracle áp dụng chu kỳ vá lỗi hàng tháng cho CSPU. Theo kế hoạch, các bản CSPU tiếp theo sẽ được phát hành vào phần lớn các ngày thứ Ba của tuần thứ ba trong tháng.
Khác với CPUs vốn có thể chứa hàng trăm bản vá cho nhiều nhóm sản phẩm, CSPU lần này chỉ tập trung vào 35 lỗ hổng CVE mới được đánh giá cần xử lý nhanh hơn.
Phạm Vi Ảnh Hưởng Trong CSPU
Các bản vá bao phủ cả mã nguồn của Oracle lẫn những thành phần bên thứ ba được tích hợp trong sản phẩm, gồm Apache Kafka, ActiveMQ, Tomcat, ZooKeeper, MySQL, PCRE2, libpng và Apache HTTP Server.
Điều này làm tăng phạm vi rủi ro bảo mật, vì các thành phần phụ thuộc có thể mở rộng bề mặt tấn công dù sản phẩm Oracle cốt lõi không thay đổi nhiều.
Lỗ Hổng CVE Trong Oracle Database
Trong Oracle Database Server phiên bản 23.4.0 đến 23.26.2, có 3 bản vá bảo mật mới cho thành phần Net Service. Ba lỗ hổng này được theo dõi dưới mã CVE-2026-46833, CVE-2026-46834 và CVE-2026-46835.
Các lỗ hổng có thể bị khai thác từ xa qua TLS mà không cần xác thực. Bản vá áp dụng cả với các môi trường chỉ cài client, không triển khai đầy đủ database server.
Điều này khiến việc cập nhật bản vá trở nên bắt buộc ở mọi môi trường có thư viện Oracle client tiếp xúc với mạng không tin cậy hoặc các dịch vụ trung gian.
Oracle REST Data Services Bị Ảnh Hưởng
Oracle REST Data Services (ORDS) từ phiên bản 24.2.0 đến 26.1.0 nhận 11 bản vá bảo mật mới, kèm thêm các cập nhật cho thành phần bên thứ ba đi kèm.
7 lỗ hổng CVE trong số đó có thể bị khai thác từ xa qua HTTPS mà không cần thông tin đăng nhập. Các thành phần bị ảnh hưởng gồm ORDS core, Backend-as-a-Service, MongoAPI và Eclipse Jetty stack.
CVE-2026-46840 trong Backend-as-a-Service có CVSS v3.1 = 10.0, phản ánh mức độ nghiêm trọng tối đa nếu bị khai thác trên một endpoint ORDS đang lộ ra Internet.
Chi tiết mức độ nghiêm trọng
Một điểm đáng chú ý trong cảnh báo CVE này là các lỗi có thể dẫn đến xâm nhập trái phép mà không cần tương tác từ người dùng. Trong bối cảnh hệ thống bị xâm nhập, đối tượng tấn công có thể đạt được tác động toàn diện lên confidentiality, integrity và availability.
Bản Vá Cho Oracle Communications Unified Assurance Và E-Business Suite
Oracle Communications Unified Assurance các phiên bản 6.1.1 đến 7.0.0 nhận 8 bản vá mới, bao gồm 4 lỗ hổng CVE có thể bị khai thác từ xa mà không cần xác thực trong các thành phần nhắn tin và web lõi.
Oracle E-Business Suite phiên bản 12.2.3 đến 12.2.15 nhận 12 bản vá mới, ảnh hưởng đến các module như Payments, Payroll, iAssets, Flow Manufacturing và Financials Common Modules.
Nhiều lỗi trong nhóm này có CVSS 9.8 và 9.9, đặc biệt với bề mặt tấn công qua HTTP hoặc HTTPS.
Oracle Hospitality OPERA 5 Và Lỗ Hổng Nghiêm Trọng
Trong mảng hospitality, Oracle Hospitality OPERA 5 Property Services bị ảnh hưởng bởi CVE-2026-34311. Đây là một lỗ hổng từ xa nghiêm trọng, đạt CVSS 9.8, tác động đến nhiều bản phát hành 5.6.x.
Đối với các hệ thống đang mở dịch vụ liên quan ra ngoài mạng nội bộ, đây là một lỗ hổng zero-day về mặt mức độ rủi ro vận hành nếu bản vá chưa được triển khai kịp thời.
IOC Và Dấu Hiệu Theo Dõi
Nội dung công bố không cung cấp IOC dạng file hash, domain, IP hay chuỗi malware. Do đó, không có danh sách IOC cụ thể để trích xuất.
Khuyến Nghị Vá Lỗi Và Giảm Thiểu Tạm Thời
Oracle nhấn mạnh rằng các hệ thống thường tiếp tục bị khai thác bởi những lỗ hổng đã được vá nếu khách hàng trì hoãn cập nhật bản vá. Vì vậy, cần triển khai cập nhật bản vá CSPU ngay trên các phiên bản được hỗ trợ.
Trong ngắn hạn, có thể giảm rủi ro bằng cách chặn các giao thức mạng bị ảnh hưởng hoặc loại bỏ các quyền không cần thiết. Tuy nhiên, Oracle cảnh báo các biện pháp này có thể làm gián đoạn chức năng ứng dụng và không nên được xem là thay thế dài hạn cho việc vá lỗi.
Nguồn tham chiếu
Thông tin chi tiết về cảnh báo có thể được đối chiếu tại Oracle Security Alert và cơ sở dữ liệu NVD.
Đối với đội vận hành, việc rà soát mức độ phơi nhiễm của Oracle Database, ORDS, E-Business Suite và OPERA 5 cần được ưu tiên theo đúng danh sách lỗ hổng CVE đã công bố. Trong môi trường có endpoint công khai, đặc biệt là các dịch vụ qua TLS và HTTPS, việc chậm triển khai bản vá bảo mật có thể dẫn đến remote code execution hoặc chiếm quyền điều khiển tùy theo từng lỗi cụ thể.
