La nouvelle mise à jour critique des correctifs de sécurité (CSPU) corrige les vulnérabilités urgentes avant les mises à jour trimestrielles.
Oracle a publié les premiers correctifs de sécurité dans son nouveau cycle mensuel de mise à jour critique des correctifs de sécurité (CSPU), conçus pour remédier aux vulnérabilités urgentes qui ne peuvent pas attendre les correctifs trimestriels de l’entreprise. Le lot initial corrige 35 failles, dont plusieurs pour lesquelles le code d’exploitation est accessible au public.
Au total, il y a 11 défauts classés « critiques », 18 « élevés » et 6 « moyens ». Les plus importantes sur papier sont 10 failles jugées critiques, notamment celles affectant Oracle REST Data Services (CVE-2026-46840, CVE-2026-46775, CVE-2026-46839), Oracle E-Business Suite (CVE-2026-46822), le portail Oracle Universal Work Queue (CVE-2026-46824) et Oracle Payments. (CVE-2026-46817).
Malgré les scores CVSS élevés pour ces bogues, les équipes de correctifs voudront probablement commencer par un ensemble de failles plus anciennes mais toujours graves pour lesquelles un code d’exploitation de preuve de concept (PoC) existerait : CVE-2025-15467, CVE-2025-58050 et CVE-2026-25646 dans la gestion du réseau Oracle Communications Unified Assurance, et CVE-2026-2332 dans les données Oracle REST. Prestations.
Tous concernent des composants open source intégrés dans les produits Oracle, et l’un d’entre eux, CVE-2025-58050, a été rendu public pour la première fois en août dernier, soulignant le temps qu’il faut pour corriger les failles de la chaîne d’approvisionnement des plates-formes modernes.
Un autre correctif prioritaire devrait être CVE-2026-46840, avec une note CVSS parfaite de « 10 ». Il s’agit d’une vulnérabilité dans le composant backend-as-a-service des versions 24.2.0 à 26.1.0 de REST Data Services.
REST Data Services est une passerelle qui expose les bases de données d’entreprise via des API. Cette faille rend cette interface facilement exploitable par un attaquant non authentifié via HTTPS, entraînant une prise de contrôle de la passerelle, ce qui en fait une priorité élevée pour les attaquants.
Les deux failles affectant le cœur de REST Data Services, CVE-2026-46775 et CVE-2026-46839, méritent également de figurer sur la liste des priorités élevées. Classé CVSS 9.9, tout ce qui empêche ces failles CVSS 10 est la nécessité d’informations d’identification réseau pour les exploiter.
Oracle ‘troisième mardi’
Annoncée plus tôt ce mois-ci, la CSPU mensuelle est censée être une mise à jour plus petite corrigeant les failles de haute gravité avant les mises à jour de correctifs critiques (CPU) plus importantes et plus générales qui continueront d’être publiées sur une base trimestrielle. Le CSPU initial a été publié jeudi dernier.
Dans ses notes de mise à jour, Oracle a déclaré que le CSPU « fournit des correctifs de sécurité ciblés et hautement prioritaires dans un format plus petit et plus ciblé, ce qui les rend plus faciles à appliquer avec un minimum de perturbations ».
Malgré la publicité autour des systèmes automatisés de recherche de vulnérabilités d’IA tels que le programme Trusted Access for Cyber d’OpenAI ou Claude Mythos, auxquels Oracle a déclaré avoir accès, aucune des découvertes de vulnérabilités de mai n’a été attribuée à ces systèmes.
Le passage à un cycle de mise à jour mensuel rapproche Oracle des éditeurs de logiciels tels que Microsoft et Adobe, et semble être une réaction à l’augmentation du volume de vulnérabilités plus graves désormais signalées.
À l’avenir, la société publiera les CSPU le troisième mardi de chaque mois, les quatre premiers étant prévus les 16 juin, 21 juillet, 18 août et 15 septembre. Les clients Oracle Cloud reçoivent automatiquement les correctifs.
