2026-2321: Oracle REST Data Services: Mehrere Schwachstellen ermöglichen u. a. die Kompromittierung der Software

Historie:

Version 1 (2026-05-29 14:14): Neues Advisory

Betroffene Software

Middleware
Server

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, Denial-of-Service (DoS)-Angriffe durchzuführen und die vollständige Kompromittierung der betroffenen Software bewirken.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Oracle veröffentlicht anlässlich des Patchtags im Mai 2026 Sicherheitsupdates für die unterstützten Oracle REST Data Services Versionen 24.2.0 bis 26.1.0 zur Behebung der Schwachstellen.

Mit der Behebung einiger der Schwachstellen werden jeweils weitere Schwachstellen adressiert (siehe 'Notes').

Schwachstellen:

CVE-2026-2332

Schwachstelle in Jetty ermöglicht HTTP-Request-Smuggling

CVE-2026-35266

Schwachstelle in Oracle REST Data Services ermöglicht u. a. Manipulation von Daten

CVE-2026-35277

Schwachstelle in Oracle REST Data Services ermöglicht u. a. Manipulation von Daten

CVE-2026-46775 CVE-2026-46839

Schwachstellen in Oracle REST Data Services ermöglichen komplette Kompromittierung der Software

CVE-2026-46829

Schwachstelle in Oracle REST Data Services ermöglicht Denial-of-Service-Angriff

CVE-2026-46830

Schwachstelle in Oracle REST Data Services ermöglicht Ausspähen von Informationen

CVE-2026-46840

Schwachstelle in Oracle REST Data Services ermöglicht komplette Kompromittierung der Software

CVE-2026-46841