Falla sin autenticación en módulo de pagos de ERP corporativo permite toma de control desde internet
Una falla crítica en el módulo de pagos de Oracle E-Business Suite (sistema ERP usado por empresas medianas y grandes) permite que un atacante tome control del sistema sin necesitar contraseña ni cuenta previa. La explotación activa inició el fin de semana del 27 de junio — antes de que existiera código público de ataque. El parche está disponible desde el ciclo de actualizaciones de Oracle de junio de 2026.
Qué ocurrió
Una falla de seguridad crítica en el módulo de pagos de Oracle E-Business Suite — sistema de gestión empresarial usado por medianas y grandes empresas — permite que cualquier atacante tome control del sistema desde internet sin necesitar contraseña ni cuenta activa. La falla afecta versiones 12.2.3 a 12.2.15. Los primeros ataques fueron detectados el fin de semana del 27 de junio de 2026, días después de que Oracle publicó el parche y antes de que existiera código público de ataque — lo que indica atacantes con capacidad de análisis técnico propio. El parche está disponible.
Quién está expuesto
Organizaciones que operan Oracle E-Business Suite en versiones 12.2.3 a 12.2.15 y no han aplicado las actualizaciones críticas de Oracle de junio de 2026. Este sistema es común en empresas con operaciones financieras complejas, sector manufactura, gobierno y sector bancario.
A considerar
El hecho de que los ataques comenzaran antes de que existiera código público disponible indica que los atacantes analizaron el parche de Oracle para descubrir la falla por cuenta propia. Esto es un patrón de actores con recursos. La ventana entre publicación del parche y primer ataque fue de días — no semanas.
El punto de entrada es el componente de transmisión de archivos del módulo de pagos. Si hay tráfico inusual hacia ese componente desde IPs externas, o accesos a rutas de la aplicación fuera de horario habitual, es señal de actividad sospechosa.
Impacto potencial
El módulo comprometido gestiona pagos, configuraciones financieras y datos de cuentas bancarias registradas en el sistema. Un atacante con acceso puede leer, modificar o extraer esa información sin dejar rastro evidente en los registros de usuario. En organizaciones que usan Oracle Payments para procesar transferencias o pagos a proveedores, el riesgo incluye alteración de cuentas destino o desvío de fondos.
Leer fuente original →