Oracle ha publicado su paquete de actualización crítica de seguridad (CSPU) correspondiente a esta semana, que incluye 245 nuevas correcciones para software local compatible. Este movimiento responde a una tendencia del sector de anunciar y corregir vulnerabilidades de seguridad con mayor rapidez, complementando el calendario trimestral tradicional de parches de Oracle. El conjunto de parches afecta a una amplia gama de productos, entre ellos Oracle Enterprise Manager, JD Edwards, Fusion Middleware, MySQL, PeopleSoft y otros.

Objetivo: parches focalizados y de alta prioridad

Oracle afirma que su objetivo es ofrecer correcciones de seguridad específicas y de alta prioridad en un formato más reducido y focalizado, haciéndolas más fáciles de aplicar con una interrupción mínima. “Oracle realiza un análisis de cada vulnerabilidad de seguridad abordada en una actualización crítica de parches de seguridad”, indican desde la compañía. “Oracle proporciona esta información para que los clientes puedan realizar su propio análisis de riesgos en función del uso concreto de sus productos”.

Análisis de expertos: ¿cuáles son los parches más críticos?

Flavio Villanustre, CISO de LexisNexis Risk Solutions, señala que, aunque todos están clasificados como de alta prioridad, algunos parches son más preocupantes. “El parche de PeopleSoft para CVE-2026-35273 destaca porque corrige una vulnerabilidad crítica de ejecución remota de código en Oracle PeopleSoft, que está siendo ampliamente explotada en entornos reales. Este parche se publicó como una alerta de seguridad fuera de ciclo y requiere una remediación inmediata”, afirma. “Pero muy cerca están los parches de Oracle Fusion, que ha recibido alrededor de un centenar de correcciones, más de la mitad clasificadas como exploits remotos sin autenticación. Estos afectan a componentes como WebLogic Server”.

Algunos de esos parches corresponden a productos de Oracle Fusion Middleware, varios de los cuales dejarán de recibir soporte por parte de Oracle a finales de este año. Sin embargo, Villanustre no considera especialmente alarmante el número de vulnerabilidades detectadas en ellos. Señala que “Oracle ofrece soporte extendido para [Fusion Middleware] hasta diciembre de 2027 para quienes estén dispuestos a pagar más en lugar de actualizar, por lo que seguirá teniendo soporte durante 18 meses más a partir de ahora”.

El alcance importa más que el número

Sanchit Vir Gogia, analista jefe en Greyhound Research, indica que la importancia del anuncio de Oracle no radica en el elevado número de parches, sino en su alcance. “La cifra importante no son los 245 parches, sino dónde se concentran”, señaló. “De las 245 correcciones, 106 están en Fusion Middleware y 53 de ellas pueden explotarse de forma remota sin autenticación. Eso no es una cuestión de higiene de parches; es un problema del plano de control”.

Sin embargo, los fallos más graves no son necesariamente los que tienen la puntuación de severidad más alta. “Son aquellos que combinan acceso remoto, ausencia de autenticación y una posición privilegiada en capas en las que otros sistemas confían”, añade.

“WebLogic Server tiene dos problemas de este tipo con la máxima severidad, en un producto que los atacantes llevan años analizando y atacando. Oracle Coherence tiene otro, y como es un componente compartido, su riesgo se multiplica silenciosamente en todo el entorno. Oracle Unified Directory puede ser tomado sin autenticación mediante LDAP. WebCenter se sitúa en el perímetro público. Varias de estas vulnerabilidades cambian el alcance, lo que significa que una intrusión puede afectar a productos más allá del inicialmente comprometido”.

Vulnerabilidades CVSS 10.0: Coherence y WebLogic en el punto de mira

Chris Doyle, responsable de seguridad y cumplimiento en JupiterOne, coincide en que las vulnerabilidades más preocupantes son aquellas que pueden explotarse sin necesidad de robar credenciales. “Las vulnerabilidades que más destacan son las de CVSS 10.0 en Oracle Coherence y WebLogic Server, explotables remotamente sin autenticación. Coherence está en la base de muchas arquitecturas de aplicaciones empresariales, por lo que comprometerlo no afecta a un solo sistema, sino que sirve como punto de pivote hacia todo lo que depende de él”, explica. Y añade: “WebLogic ha sido durante años un objetivo de ransomware y minería de criptomonedas, y el acceso sin autenticación a la consola es precisamente el punto de entrada que buscan estas campañas”.

Doyle también muestra preocupación por las vulnerabilidades en PeopleSoft. “La que presenta mayor urgencia inmediata es CVE-2026-35273 en PeopleSoft PeopleTools, que Oracle ha confirmado que ya estaba siendo explotada activamente antes incluso de que se publicara el parche. Además, PeopleSoft gestiona sistemas de recursos humanos, finanzas y estudiantes, que son objetivos prioritarios para los operadores de ransomware”, indica. “Se trata de sistemas profundamente interconectados que requieren actualizaciones coordinadas en múltiples capas con pruebas de regresión en cada paso. A menudo no existe una solución compensatoria sencilla para ganar tiempo: simplemente hay que aplicar los parches”.

El desafío del parcheo en productos al final de su vida útil

Los problemas de Fusion Middleware —Oracle cita más de 30 vulnerabilidades solo en este paquete— también suponen un reto, dado cómo la mayoría de las operaciones IT gestionan el parcheo en productos al final de su vida útil.

“Las organizaciones que aún lo utilizan intentan parchear un producto muy atacado al mismo tiempo que planifican una migración que no pueden posponer. Estos entornos están muy personalizados, lo que ralentiza el parcheo, y esa brecha entre ‘parche disponible’ y ‘parche aplicado’ es exactamente cuando los atacantes actúan”, señala Doyle. “Una vez finaliza el soporte, puede que nuevas vulnerabilidades no reciban ningún parche. Dado el volumen que vemos en este ciclo, asumir que la situación se calmará antes de la fecha límite no es una apuesta que yo haría”.

Gogia añade que hay pocas buenas noticias en relación con las vulnerabilidades que aún no se ha confirmado que hayan sido explotadas. “La ausencia de explotación confirmada no aporta tranquilidad. En cuanto se publica un aviso, los atacantes lo analizan, revierten la corrección, escanean los entornos empresariales expuestos y compiten contra los clientes que siguen esperando su ventana de mantenimiento”, afirma. “WebLogic no se ha vuelto peligroso de repente. Lleva años siendo un objetivo, y una de sus vulnerabilidades anteriores ya figura en el catálogo gubernamental de vulnerabilidades explotadas. Esperar a una prueba pública de explotación es la estrategia de parcheo más cara. Para cuando llega esa prueba, el trabajo silencioso ya suele estar hecho”.

Para las empresas que buscan reforzar su postura de seguridad, es fundamental contar con una estrategia de actualización continua. En Soluciones avanzadas en Microsoft Azure se aborda cómo la nube puede facilitar la gestión de parches. Además, la Productividad empresarial con Microsoft 365 ofrece herramientas para optimizar los procesos de TI. Por otro lado, la Identidad digital para agentes de IA y la iniciativa de Estonia muestran cómo la autenticación robusta puede mitigar riesgos. Asimismo, la soberanía tecnológica europea es un tema relevante en el contexto de la seguridad. Finalmente, MCP obtiene su capa de autorización empresarial faltante destaca la importancia de los controles de acceso.

Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.