文章总结: CVE-2026-46817是OracleEBSPayments模块未认证远程接管漏洞,CVSS9.8,已确认在野大规模利用。攻击者单次请求即可绕过认证接管财务系统,建议企业立即部署4月补丁,对相关模块进行网络隔离与WAF拦截,并排查异常日志以防范资金窃取与内网渗透。 综合评分: 55 文章分类: 漏洞预警,应急响应,威胁情报,漏洞分析,软文广告
CVSS 9.8!Oracle EBS零日正在被大规模利用
原创
星夜AI安全 星夜AI安全
星夜AI安全
2026年7月10日 12:44 吉林
在小说阅读器读本章
去阅读
🌈
CVE-2026-46817 Oracle E-Business Suite Oracle Payments组件未认证远程接管漏洞,CVSS 9.8,影响12.2.3-12.2.15,Defused Cyber于2026-06-30确认在野利用,数千家企业财务系统 exposed。
一、事件概述
2026 年 6 月 30 日,威胁情报厂商 Defused Cyber 确认:攻击者正在大规模利用 CVE-2026-46817——一个位于 Oracle E-Business Suite(EBS) 的未认证远程接管漏洞。该漏洞 CVSS 评分高达 9.8(Critical),无需任何凭证、单次请求即可接管企业核心财务与支付系统。
受影响的组件是 Oracle EBS 的 Oracle Payments 模块下的 File Transmission(文件传输) 子模块,影响版本 12.2.3 至 12.2.15。由于 EBS 是全球数千家中大型企业的 ERP backbone(财务、支付、采购、供应链全在上面),一旦被接管,攻击者可直接操纵支付流程、窃取财务数据、并以此为跳板横向渗透整个内网。
这不是「未来风险」——利用已经发生,真实攻击流量已被捕获。
二、攻击过程还原(时间线)
- 2026-04:Oracle 在季度关键补丁更新(CPU)中修复 CVE-2026-46817,但大量企业因变更窗口、停机顾虑未及时打补丁。
- 2026-05-28:NVD 正式收录该漏洞,公开 CVSS 9.8 与受影响版本范围。
- 2026-06 中旬起:多个威胁情报源开始观察到针对 Oracle Payments 的异常访问。
- 2026-06-30:Defused Cyber 发布确认,捕获到真实在野利用流量,判定为「主动攻击(active exploitation)」;Rescana、Cybersecurity News 等多家同步告警。
- 当前:尚无证据表明漏洞已被纳入 CISA KEV,但鉴于其未认证 + 远程接管属性,被快速武器化只是时间问题。
三、技术分析
- 漏洞类型:认证绕过 + 权限提升(Improper Privilege Management / Authentication Flaw)。攻击者绕过 Oracle Payments 的身份校验,以未认证身份获得模块级控制权,进而提升至 EBS 整体管理权限。
- 利用门槛:极低——单个未认证 HTTP 请求即可触发,无需用户交互、无需合法账号、无需前置 foothold。典型的「互联网暴露即危」。
- 攻击面:File Transmission 模块通常承担银行对帐文件、支付指令的收发,往往直接面向内部网络甚至部分 DMZ,是攻击者最爱的高价值入口。
- 后续动作:接管后可篡改支付对手方、导出供应商/员工银行信息、植入后门账号,或直接作为跳板进入数据库层。
四、影响评估
- 规模:EBS 12.2.x 系列部署在金融、制造、零售、医疗、政府的数千家企业。凡是没打 2026 年 4 月 CPU 的实例,理论上一键可破。
- 危害层级:直接触及资金流与核心财务数据,远高于一般数据泄露——可导致欺诈性付款、合规违规(SOX/等保)、供应链连锁风险。
- 现实威胁:对比历史同类(如 Oracle EBS 过往多个未认证 RCE),从 PoC 公开到僵尸网络规模化扫描通常不超过两周。CVE-2026-46817 已跳过这一阶段,直接进入「在野利用」。
五、行业警示与建议
- 立即打补丁:所有运行 EBS 12.2.3–12.2.15 的企业,立刻部署 2026 年 4 月 Oracle CPU,这是唯一根治手段。
- 边界隔离:将 Oracle Payments / File Transmission 模块从互联网和 DMZ 收回内网,仅允许必要网段访问;临时无法升级的,用 WAF 规则封堵异常 File Transmission 访问路径。
- 资产盘点:用资产探测确认是否存在暴露的 EBS 实例,特别是子公司、并购过来的老旧系统。
- 威胁狩猎:检查 Oracle Payments 日志中是否存在未认证的成功管理操作、异常文件传输、陌生管理员账号创建。
- 演练预案:将此类「未认证远程接管 ERP」纳入红蓝对抗场景,验证支付模块的纵深防御是否真能有效。
EBS 这类「业务中枢」系统一旦失守,后果远超单台主机沦陷。在补丁落地前,任何暴露在公网的 Oracle Payments 实例都是一枚定时炸弹。
圈子介绍
现任职于某头部网络安全企业攻防研究部,核心红队成员。2021-2023年间累计参与40+场国家级、行业级攻防实战演练,精通漏洞挖掘、红蓝对抗策略制定、恶意代码分析、内网横向渗透及应急响应等技术领域。在多次大型演练中,主导突破多个高防护目标网络,曾获”最佳攻击手””突出贡献个人”等荣誉。
已产出的安全工具及成果包括:
- 多款主流杀软通杀工具(兼容卡巴斯基、诺顿、瑞星、360等终端防护,无感知运行,突破多引擎联合检测)
- XXByPassBehinder v1.1 冰蝎免杀生成器(定制化冰蝎免杀工具,绕过主流终端防护与EDR动态检测,支持自定义载荷)
- 哥斯拉二开免杀定制版(二开优化,深度免杀,突破终端防护与EDR检测,适配多场景植入)
- NeoCS4.9终极版(高级免杀加载工具,强化载荷注入与进程劫持,适配多系统版本,无兼容问题)
- WinDump_免杀版(浏览器凭证窃取工具,支持Chrome/Edge/Firefox等主流浏览器,一键提取敏感数据,免杀过防护)
- DumpBrowser_V1_免杀版(浏览器凭证窃取工具,专攻浏览器密码、Cookie、历史记录提取,免杀性能拉满)
- fscan二开版(二开优化内网扫描工具,增强指纹精度、弱口令爆破与结果标准化输出,适配复杂内网)
- RingQ加载器二开版(二开优化免杀加载器,支持Shellcode内存执行,绕过各类终端防护与EDR检测)
- 多款免杀Webshell集合(覆盖PHP/JSP/ASPX,过主流WAF与终端防护,适配不同Web场景)
- 免杀360专属加载器(支持Shellcode内存执行,针对性绕过360全系防护检测,无感知运行)
- 一键Kill 火绒 defender 工具 HDKiller(包含源码)
- win11 一键kill 360工具 InjectKill(包含源码)
- win11 一键kill defender工具win11_df-killer(包含源码)
- 免杀火绒6.0内存防护加载器BypassMemLoader
- 单文件过360 免杀loader exe_bypass_360
- 单文件过火绒 df 免杀loader exe_bypass_df(包含源码)
- LNK钓鱼文件生成工具V1.0
- EXE捆绑启动器 v2.0
- 火绒6内存免杀加载器bypasshr6
- 火绒一键Kill专杀工具HRKiller
- Ring3 内存免杀工具Ring3bypasshr.exe
后续将不断更新到内部圈子中 欢迎加入圈子
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:星夜AI安全 星夜AI安全 星夜AI安全《CVSS 9.8!Oracle EBS零日正在被大规模利用》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论