CISA Wajibkan Instansi Federal Patch Celah Oracle E-Business Suite CVE-2026-46817

Badan Keamanan Siber dan Infrastruktur Amerika Serikat, CISA, memerintahkan seluruh instansi federal untuk segera menambal kerentanan kritis di Oracle E-Business Suite setelah celah tersebut dikonfirmasi aktif dieksploitasi dalam serangan. Tenggat perbaikan ditetapkan hingga Sabtu, 18 Juli 2026.
Kerentanan yang dilacak sebagai CVE-2026-46817 ini berada pada komponen File Transmission di produk Oracle Payments, bagian dari Oracle E-Business Suite yang banyak digunakan untuk kebutuhan aplikasi bisnis dan finansial. Celah tersebut memungkinkan penyerang tanpa autentikasi yang memiliki akses jaringan melalui HTTP untuk mengambil alih sistem rentan dengan tingkat kompleksitas serangan yang rendah.
Risikonya dinilai sangat tinggi karena CVE-2026-46817 memiliki skor CVSS 9.8. Pada skenario terburuk, eksploitasi yang berhasil dapat berdampak pada kerahasiaan, integritas, dan ketersediaan sistem yang menjalankan Oracle Payments.
Oracle sebenarnya telah merilis pembaruan keamanan untuk celah ini melalui Critical Security Patch Update pada Mei 2026. Saat itu, perusahaan juga mengingatkan pelanggan agar tetap menggunakan versi yang masih didukung secara aktif dan menerapkan patch keamanan tanpa penundaan.
Celah ini memengaruhi Oracle E-Business Suite versi 12.2.3 hingga 12.2.15. Karena komponen yang terdampak berkaitan dengan aplikasi finansial perusahaan, organisasi yang masih menjalankan instance Oracle EBS lama atau terbuka ke internet perlu menempatkan patch ini sebagai prioritas tinggi.
Indikasi eksploitasi mulai mencuat pada 29 Juni 2026, ketika aktivitas terhadap CVE-2026-46817 dilaporkan terlihat pada honeypot Oracle E-Business. Pada saat itu, celah tersebut disebut belum memiliki riwayat eksploitasi publik sebelumnya dan belum tersedia proof-of-concept yang diketahui secara luas.
Pemantauan internet juga menunjukkan masih ada lebih dari 1.000 instance Oracle EBS yang terekspos secara online, dengan lebih dari separuhnya berada di Amerika Serikat. Belum ada kepastian berapa banyak dari instance tersebut yang merupakan honeypot atau sudah diamankan dengan patch terbaru.
Dengan masuknya CVE-2026-46817 ke katalog Known Exploited Vulnerabilities, instansi federal AS diwajibkan melakukan mitigasi sesuai arahan Binding Operational Directive 26-04. Bagi organisasi non-pemerintah, daftar KEV tetap menjadi sinyal kuat bahwa celah tersebut sudah digunakan dalam serangan nyata dan perlu segera ditangani.
Kasus ini juga menambah daftar panjang kerentanan Oracle yang menjadi perhatian CISA. Dalam beberapa tahun terakhir, puluhan celah pada berbagai produk Oracle telah ditandai sebagai aktif dieksploitasi, sebagian di antaranya juga pernah dimanfaatkan dalam operasi ransomware.
Administrator disarankan segera menerapkan patch Oracle terbaru, memeriksa seluruh instance Oracle EBS yang dapat diakses dari internet, membatasi akses HTTP yang tidak diperlukan, serta meninjau log untuk mendeteksi aktivitas mencurigakan pada Oracle Payments dan komponen File Transmission. Sistem yang sudah tidak berada dalam versi dukungan aktif sebaiknya diprioritaskan untuk upgrade agar tetap menerima pembaruan keamanan resmi.








