Oracle - CVE-2026-46840
Date de publication :
Il s'agit d'une vulnérabilité dans le composant Backend-as-a-Service d'Oracle REST Data Services.
Oracle REST Data Services est un middleware qui expose des bases de données Oracle sous forme d'API REST via le protocole HTTPS. Il est utilisé comme couche d'interface entre des applications web ou mobiles et les bases Oracle Database, notamment pour des architectures Backend-as-a-Service.
Le composant traite des requêtes HTTPS entrantes sans exiger d'authentification préalable. Un attaquant peut envoyer une requête spécialement forgée et déclencher un comportement non contrôlé, vraisemblablement lié à un défaut de validation des appels d'API internes. La vulnérabilité produit un scope change, la compromission d'ORDS pouvant entraîner un impact sur les bases Oracle Database sous-jacentes.
Elle permet une exécution de code arbitraire à distance avec une prise de contrôle complète de l'instance et des produits connectés.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-306 : Missing Authentication for Critical Function
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Oracle REST Data Services versions 24.2.0 jusqu'à 26.1.0