Oracle publicou a súa Critical Patch Update (CPU) de xaneiro de 2026, que corrixe un total de 337 vulnerabilidades de seguridade distribuídas en múltiples familias de produtos.
A actualización aborda fallos críticos que afectan a sistemas empresariais amplamente despregados, incluíndo bases de datos, middleware, plataformas de comunicacións e aplicacións financeiras.
Un número significativo destas vulnerabilidades permite explotación remota sen autenticación, o que incrementa notablemente o risco en sistemas expostos a redes externas.
Vulnerabilidades destacadas
Entre os fallos máis graves atópase unha vulnerabilidade con puntuación CVSS 10.0, a máxima severidade, que afecta a Oracle Commerce Guided Search e permite execución remota de código a través de compoñentes de terceiros integrados.
O conxunto da actualización inclúe:
- Vulnerabilidades explotables remotamente mediante HTTP/HTTPS/TLS
- Fallos que non requiren interacción do usuario
- Debilidades introducidas por dependencias de terceiros (como Apache Tika, Spring Framework, Apache Commons e OpenSSL)
Produtos e compoñentes afectados
A actualización impacta, entre outros, nos seguintes produtos:
- Oracle Database Server
- Oracle APEX
- Oracle Essbase
- Oracle GoldenGate
- Oracle Graph Server
- Oracle Communications Suite
- Oracle Financial Services Applications
- Oracle Fusion Middleware
Algúns destes produtos concentran decenas de correccións individuais, especialmente en contornos críticos e infraestruturas expostas.
Impacto potencial
A explotación destas vulnerabilidades podería permitir:
- Execución remota de código
- Acceso non autorizado a sistemas e datos
- Compromiso de servizos críticos empresariais
- Movemento lateral dentro da infraestrutura corporativa
Os riscos son especialmente elevados en organizacións con sistemas Oracle accesibles desde Internet ou integrados en contornos complexos.
Recomendacións
Recoméndase a administracións públicas, empresas e organizacións:
- Aplicar de forma inmediata as actualizacións publicadas por Oracle.
- Priorizar os sistemas expostos a rede e os compoñentes con maior criticidade.
- Revisar dependencias de terceiros incluídas nos produtos Oracle.
- Verificar versións en soporte activo (Premier ou Extended Support).
- Reforzar os procedementos de xestión de parches e probas en contornos de preprodución.
Consideración final
O volume e a severidade desta actualización subliñan a importancia dunha xestión continua e estruturada das vulnerabilidades, especialmente en ecosistemas complexos como os de Oracle. A demora na aplicación dos parches incrementa de forma significativa a superficie de ataque.
