Lebih dari 900 Server Oracle E-Business Masih Terpapar Serangan Aktif CVE-2026-46817

Lebih dari 900 server Oracle E-Business Suite (EBS) dilaporkan masih dapat diakses melalui internet di tengah maraknya eksploitasi aktif terhadap kerentanan kritis CVE-2026-46817.
Celah keamanan tersebut memungkinkan penyerang mengambil alih sistem yang rentan tanpa memerlukan autentikasi, sehingga menjadi ancaman serius bagi organisasi yang belum memasang pembaruan keamanan terbaru.
Kerentanan Kritis dengan Skor CVSS 9.8
Kerentanan CVE-2026-46817 ditemukan pada komponen File Transmission di modul Oracle Payments dalam Oracle E-Business Suite.
Celah ini memiliki skor CVSS 9.8 dan memungkinkan penyerang yang hanya memiliki akses jaringan melalui HTTP untuk mengambil alih sistem menggunakan serangan dengan tingkat kompleksitas rendah.
Oracle telah merilis patch untuk mengatasi masalah ini melalui Critical Patch Update (CPU) Mei 2026 dan mengimbau seluruh pelanggan segera melakukan pembaruan.
Eksploitasi Aktif Telah Terdeteksi
Meski Oracle belum secara resmi menandai CVE-2026-46817 sebagai kerentanan yang telah dieksploitasi di dunia nyata, perusahaan intelijen ancaman Defused sebelumnya mengungkap adanya aktivitas eksploitasi aktif.
Menurut Defused, upaya eksploitasi pertama terdeteksi pada akhir pekan lalu melalui sistem honeypot Oracle E-Business milik mereka.
Menariknya, hingga saat aktivitas tersebut ditemukan, belum tersedia proof-of-concept (PoC) publik untuk kerentanan ini, sehingga pelaku diduga menggunakan metode eksploitasi yang dikembangkan sendiri.
Shadowserver Temukan Hampir 1.000 Server Terpapar
Organisasi pemantau keamanan internet Shadowserver kini melaporkan terdapat sekitar 950 instance Oracle E-Business Suite yang masih dapat diakses langsung dari internet.
Namun, belum diketahui berapa banyak dari server tersebut yang telah memasang patch keamanan sehingga terlindungi dari eksploitasi CVE-2026-46817.
Temuan ini menunjukkan masih banyak organisasi yang berpotensi menjadi sasaran serangan apabila belum melakukan pembaruan sistem.
Oracle Terus Menjadi Sasaran Serangan
Kasus CVE-2026-46817 menambah daftar panjang kerentanan Oracle yang menjadi target eksploitasi dalam beberapa waktu terakhir.
Pada Juni lalu, Cybersecurity and Infrastructure Security Agency (CISA) juga menetapkan CVE-2024-21182 pada Oracle WebLogic Server sebagai kerentanan yang telah dieksploitasi secara aktif, meskipun patch-nya telah tersedia sejak dua tahun sebelumnya.
Tak lama kemudian, Oracle juga merilis mitigasi darurat untuk CVE-2026-35273, sebuah kerentanan zero-day pada Oracle PeopleSoft yang dimanfaatkan kelompok ShinyHunters untuk memperoleh Remote Code Execution (RCE) tanpa autentikasi serta mencuri data dari berbagai organisasi.
Korban serangan tersebut antara lain Nottingham University dan National Association of Insurance Commissioners (NAIC).
Belum lama ini, Nissan juga mengungkap terjadinya kebocoran data karyawan setelah sistem Oracle PeopleSoft miliknya berhasil disusupi.
Riwayat Serangan terhadap Oracle EBS
Oracle E-Business Suite sebelumnya juga pernah menjadi target kelompok ransomware.
Sejak Agustus 2025, kelompok Clop diketahui mengeksploitasi kerentanan CVE-2025-61882 dalam serangan zero-day yang menyasar sejumlah universitas di Amerika Serikat, termasuk:
- Harvard University.
- University of Pennsylvania.
- Dartmouth College.
- University of Phoenix.
Selain institusi pendidikan, serangan tersebut juga dilaporkan menargetkan sejumlah organisasi besar seperti Logitech, GlobalLogic, dan The Washington Post.
Menurut data CISA, sejak November 2021 terdapat 44 kerentanan pada berbagai produk Oracle yang telah masuk ke dalam daftar Known Exploited Vulnerabilities (KEV). Dari jumlah tersebut, 13 kerentanan diketahui pernah dimanfaatkan oleh kelompok ransomware.
Sumber: Shadowserver








