• 發布單位:TWCERT/CC
• 更新日期:2026-05-29
• 點閱次數:44

• 內容說明：

【CVE-2026-46833，CVSS：9.0】

此漏洞存在於Oracle Database Server的Net Service元件，允許未經身分驗證的攻擊者透過TLS存取Net Service元件，可能對其他產品造成重大影響。

【CVE-2026-46840，CVSS：10.0】

此漏洞存在於Oracle REST Data Services的Backend-as-a-Service元件，允許未經身分驗證的攻擊者透過HTTPS網路存取Oracle REST Data Services。

【CVE-2026-46775，CVSS：9.9、CVE-2026-46839，CVSS：9.9】

此漏洞存在於Oracle REST Data Services的Core元件，低權限的攻擊者可透過HTTPS網路存取Oracle REST Data Services，若成功利用可能導致Oracle REST Data Services被完全控制。

【CVE-2026-2332，CVSS：9.1】

此漏洞存在於Oracle REST Data Services的Core (Eclipse Jetty)元件，允許未經身分驗證的攻擊者透過HTTPS網路存取Oracle REST Data Services，若成功利用可能導致未經授權新增、刪除或修改關鍵數據。

【CVE-2026-33557，CVSS：9.1】

此漏洞存在於Oracle Communications Unified Assurance的Message Bus (Apache Kafka)元件，允許未經身分驗證的攻擊者透過TCP網路存取Oracle Communications Unified Assurance，若成功利用可能導致未經授權新增、刪除或修改關鍵數據。

【CVE-2025-15467，CVSS：8.8】

此漏洞存在於Oracle Communications Unified Assurance的Core (MySQL Server)元件，允許未經身分驗證的攻擊者透過HTTP 網路存取Oracle Communications Unified Assurance。若要成功利用此漏洞需仰賴除攻擊者之外的其他使用者互動。

【CVE-2026-41044，CVSS：8.8】

此漏洞存在於Oracle Communications Unified Assurance的Message Bus (Apache Kafka)元件，低權限的攻擊者可透過HTTPS網路存取Oracle Communications Unified Assurance，若成功利用可能導致Oracle Communications Unified Assurance被完全控制。

【CVE-2026-46822，CVSS：9.9】

此漏洞存在於Oracle iAssets的Internal Operations元件，低權限的攻擊者可透過HTTPS網路存取Oracle iAssets並使其遭受攻擊，若成功利用可能導致Oracle iAssets被完全控制。

【CVE-2026-46824，CVSS：9.9】

此漏洞存在於Oracle Universal Work Queue的Work Provider Site Level Administration元件，低權限的攻擊者可透過HTTPS網路存取Oracle Universal Work Queue，若成功利用可能導致Oracle Universal Work Queue被完全控制。

【CVE-2026-46817，CVSS：9.8】

此漏洞存在於Oracle Payments的File Transmission元件，允許未經身分驗證的攻擊者透過HTTP網路存取Oracle Payments，若成功利用可能導致Oracle Payments被完全控制。

【CVE-2026-46819，CVSS：9.1】

此漏洞存在於Oracle Internet Procurement Connector的Internal Operations元件，允許未經身分驗證的攻擊者透過HTTP 網路存取Oracle Internet Procurement Connector，若成功利用可能導致未經授權新增、刪除或修改關鍵數據。

【CVE-2026-46837，CVSS：8.8】

此漏洞存在於Oracle Flow Manufacturing的Security元件，低權限的攻擊者可透過SQL存取網路，若成功利用可能導致Oracle Flow Manufacturing被完全控制。

【CVE-2026-46826，CVSS：8.8】

此漏洞存在於Oracle Payroll的Internal Operations元件，低權限的攻擊者可透過HTTPS網路存取，若成功利用可能導致Oracle Payroll被完全控制。

【CVE-2026-46827，CVSS：8.8】

此漏洞存在於Oracle Payroll的Self Service Manager元件，低權限的攻擊者可透過HTTP網路存取，若成功利用可能導致Oracle Payroll被完全控制。

【CVE-2026-34311，CVSS：9.8】

此漏洞存在於Oracle Hospitality OPERA 5 Property Services的Opera元件，允許未經身分驗證的攻擊者透過HTTP 網路存取Oracle Hospitality OPERA 5 Property Services，若成功利用可能導致OPERA 5 Property Services被完全控制。

• 影響平台：

【CVE-2026-46833】

Oracle Database Server 23.4.0至23.26.2版本

【CVE-2026-46840、CVE-2026-46775、CVE-2026-46839、CVE-2026-2332】

Oracle REST Data Services 24.2.0至26.1.0版本

【CVE-2026-33557、CVE-2025-15467、CVE-2026-41044】

Oracle Communications Unified Assurance 6.11至7.00版本

【CVE-2026-46822】

Oracle iAssets 12.2.3至12.2.15版本

【CVE-2026-46824】

Oracle Universal Work Queue 12.2.3至12.2.15版本

【CVE-2026-46817】

Oracle Payments 12.2.3至12.2.15版本

【CVE-2026-46819】

Oracle Internet Procurement Connector 12.2.3至12.2.15版本

【CVE-2026-46837】

Oracle Flow Manufacturing 12.2.3至12.2.15版本

【CVE-2026-46827、CVE-2026-46826】

Oracle Payroll 12.2.3至12.2.15版本

【CVE-2026-34311】

Oracle Hospitality OPERA 5 Property Services 5.6.19.24、

Oracle Hospitality OPERA 5 Property Services 5.6.22、

Oracle Hospitality OPERA 5 Property Services 5.6.25.19、

Oracle Hospitality OPERA 5 Property Services 5.6.27.6、

Oracle Hospitality OPERA 5 Property Services 5.6.28

• 處置建議：

根據官方網站釋出的解決方式進行修補：

https://www.oracle.com/security-s/cspumay2026.html