TL;DR:
- CVE-2026-46822 in Oracle iAssets, CVSS 9.9: Low-Privilege-User übernehmen das Asset-Management-System per HTTP.
- CVE-2026-46839 in Oracle REST Data Services, CVSS 9.9: kompletter Takeover über Auth-Bypass.
- Beide am 28. Mai 2026 veröffentlicht — Oracle liefert Patches im Critical Patch Update.
- Wer Oracle APEX oder OCI-Asset-Management betreibt: SOFORT updaten, danach Audit-Log prüfen.
Tim, falls du dachtest, dass das Oracle-Universum nach dem April-CPU mal Ruhe gibt — falsch. Am 28.05.2026 hat Oracle gleich zwei kritische 9.9er nachgereicht. Beide schaffen es, dass ein Low-Privilege-Angreifer mit HTTP-Zugang ein komplettes System übernimmt. Wir reden nicht von Datenleck — wir reden von Total-Takeover.
Lücke 1: Oracle iAssets CVE-2026-46822
Oracle iAssets ist das Asset-Management-Modul aus der E-Business-Suite. Es verwaltet Inventar, Anlagen und Service-Verträge — also ziemlich genau das, was große Konzerne nicht gerne offen im Netz haben.
Der Angriff: Ein Low-Privilege-Account mit Network-HTTP-Zugang reicht. CVSS-Vektor: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H. Die Scope-Change (S:C) ist die Killer-Komponente — der Exploit bricht aus dem iAssets-Kontext aus und greift auf angrenzende Ressourcen zu. Das heißt: Wer iAssets übernimmt, kann auch andere E-Business-Module manipulieren.
Lücke 2: Oracle REST Data Services CVE-2026-46839
Oracle REST Data Services (ORDS) stellt PL/SQL-Prozeduren und Datenbank-Tabellen als REST-API bereit — bei Oracle APEX-Hosts ist ORDS der Frontdoor-Service. Genau dort sitzt die zweite 9.9er.
Authentifizierung wird umgangen, Folge: kompletter Takeover des ORDS-Servers plus der dahinterliegenden Datenbank-Schemas, je nach Konfiguration. Wer ORDS öffentlich erreichbar betreibt, muss vor dem Patch dringend WAF-Regeln oder IP-Allowlist hochziehen.
Was du heute machst
- Inventur: Welche Oracle-Komponenten laufen?
opatch lsinventoryauf jedem Host. - Patch-Plan: Oracle hat die Patches als Out-of-Band-CPU bereitgestellt — MOS-Note prüfen, Test-Umgebung ziehen, Rollout.
- Audit-Log durchsuchen: Erste Exploit-PoCs zirkulieren auf X — wer in den letzten 48 Stunden ungewöhnliche HTTP-POSTs auf
/ords/sieht, sollte ein Forensik-Image ziehen. - WAF-Regeln: Bis der Patch durchgerollt ist, blockiere alle nicht-allowlisteten IPs auf den iAssets- und ORDS-Endpunkten.
Warum das Zeug so kritisch ist
Oracle-Datenbanken stehen oft im geschäftskritischen Kern: ERP, CRM, Asset-Tracking. Ein Takeover bedeutet selten nur Daten weg, sondern Geschäftsbetrieb steht still. Versicherer und Auditoren werden in den nächsten Wochen aktiv nachfragen, wie ihr gepatcht habt.
FAQ
Bin ich betroffen, wenn ich Oracle XE betreibe?
Nur, wenn iAssets oder ORDS installiert ist. Reine XE-Datenbanken sind nicht direkt verwundbar.
Was, wenn ich keine Wartungsverträge habe?
Patches sind im aktuellen Critical Patch Update enthalten und nur mit MOS-Zugang verfügbar. Wer keinen Vertrag hat, muss WAF und Netzwerk-Isolation hochfahren — und über Migration nachdenken.
Reicht ein WAF-Regelset?
Als Übergangslösung ja. WAF-Regeln müssen sowohl POSTs als auch GETs auf den verwundbaren Endpunkten überwachen. Echter Schutz nur durch Patch.
Werden die CVEs aktiv ausgenutzt?
Stand 29.05. 06:00 Uhr: erste PoC-Codes sind öffentlich, Exploitation in the wild ist nicht offiziell bestätigt, aber wahrscheinlich.
Was, wenn ORDS nur im internen Netz läuft?
Risiko sinkt, ist aber nicht null. Lateral Movement durch infizierte Workstations bleibt möglich. Patchen trotzdem.
[bookmark-affiliate slug=“proton-mail“]