Oracle выпустила июньский Critical Security Patch Update, второй набор исправлений после перехода к дополнительному месячному ритму патчей. По данным SecurityWeek, компания по-прежнему сохраняет квартальные Critical Patch Updates, но теперь дополняет их ежемесячными выпусками для более серьёзных уязвимостей. Июньский CSPU включает 245 новых исправлений для Communications, E-Business Suite, Enterprise Manager, Fusion Middleware, JD Edwards, MySQL, PeopleSoft, Siebel CRM, Supply Chain, Systems и Virtualization.

Масштаб релиза заметен по уровню критичности. SecurityWeek пишет, что примерно 120 уязвимостей получили рейтинг critical по CVSS, а 100 проблем могут эксплуатироваться удалённо без аутентификации. Более 100 исправлений пришлись на Oracle Fusion Middleware, причём подавляющее большинство этих уязвимостей отнесено к critical или high severity. Для крупных организаций это означает, что июньский пакет нельзя рассматривать как обычное плановое обслуживание: часть дефектов находится в компонентах, которые часто обслуживают бизнес-приложения и внешние интеграции.

Oracle в своём advisory напомнила, что регулярно получает сообщения о попытках злонамеренной эксплуатации уязвимостей, для которых патчи уже были выпущены. Компания подчёркивает, что атаки в ряде случаев успешны именно потому, что клиенты не применили доступные обновления. При этом в июньском CSPU Oracle, по данным SecurityWeek, не заявляет о zero-day exploitation. Это важное различие: отсутствие подтверждённого zero-day не отменяет риска массового поиска старых и свежих дыр после публикации бюллетеня.

Отдельного внимания заслуживает PeopleSoft. SecurityWeek отмечает сообщения security-компаний о том, что группировка ShinyHunters эксплуатировала уязвимость Oracle PeopleSoft CVE-2026-35273 и якобы нацеливалась как минимум на 100 организаций, многие из которых относятся к образовательному сектору. Oracle призвала пользователей установить патч, однако публичная документация компании, как подчёркивает издание, прямо не подтверждает эксплуатацию in the wild. Поэтому корректная формулировка для защитников — не считать факт подтверждённым Oracle, но включить PeopleSoft в приоритетный список проверки.

Практический риск июньского релиза — в ширине портфеля Oracle. EBS, Fusion Middleware, PeopleSoft и MySQL часто поддерживают критичные процессы: финансы, HR, цепочки поставок, идентификацию и внутренние порталы. Патч-менеджмент здесь должен начинаться с инвентаризации интернет-доступных и бизнес-критичных систем, оценки возможности удалённой эксплуатации без учётной записи и резервного копирования перед обновлением. После установки стоит проверить журналы на признаки попыток эксплуатации, особенно если продукт был доступен извне или не обновлялся в предыдущие месяцы.

Источник: SecurityWeek, 17 июня 2026