Oracle ha publicado su paquete de actualización crítica de seguridad (CSPU) con 245 nuevas correcciones para software local compatible, abarcando productos como Oracle Enterprise Manager, JD Edwards, Fusion Middleware, MySQL y PeopleSoft. Este movimiento responde a una tendencia del sector de anunciar y corregir vulnerabilidades con mayor rapidez, complementando el calendario trimestral tradicional de parches.

Oracle afirma que su objetivo es ofrecer correcciones de seguridad específicas y de alta prioridad en un formato más reducido y focalizado, facilitando su aplicación con una interrupción mínima. “Oracle realiza un análisis de cada vulnerabilidad de seguridad abordada en una actualización crítica de parches de seguridad”, indican desde la compañía. “Oracle proporciona esta información para que los clientes puedan realizar su propio análisis de riesgos en función del uso concreto de sus productos”.

Vulnerabilidades críticas: más allá de los números

Flavio Villanustre, CISO de LexisNexis Risk Solutions, señala que, aunque todos los parches están clasificados como de alta prioridad, algunos son más preocupantes. “El parche de PeopleSoft para CVE-2026-35273 destaca porque corrige una vulnerabilidad crítica de ejecución remota de código en Oracle PeopleSoft, que está siendo ampliamente explotada en entornos reales. Este parche se publicó como una alerta de seguridad fuera de ciclo y requiere una remediación inmediata”, afirma. “Pero muy cerca están los parches de Oracle Fusion, que ha recibido alrededor de un centenar de correcciones, más de la mitad clasificadas como exploits remotos sin autenticación. Estos afectan a componentes como WebLogic Server”.

Algunos de esos parches corresponden a productos de Oracle Fusion Middleware, varios de los cuales dejarán de recibir soporte a finales de este año. Sin embargo, Villanustre no considera alarmante el número de vulnerabilidades detectadas en ellos, y señala que “Oracle ofrece soporte extendido para [Fusion Middleware] hasta diciembre de 2027 para quienes estén dispuestos a pagar más en lugar de actualizar, por lo que seguirá teniendo soporte durante 18 meses más a partir de ahora”.

El alcance de los parches: Fusion Middleware en el punto de mira

Sanchit Vir Gogia, analista jefe en Greyhound Research, indica que la importancia del anuncio no radica en el número de parches, sino en su alcance. “La cifra importante no son los 245 parches, sino dónde se concentran”, señaló. “De las 245 correcciones, 106 están en Fusion Middleware y 53 de ellas pueden explotarse de forma remota sin autenticación. Eso no es una cuestión de higiene de parches; es un problema del plano de control”.

Sin embargo, los fallos más graves no son necesariamente los que tienen la puntuación de severidad más alta. “Son aquellos que combinan acceso remoto, ausencia de autenticación y una posición privilegiada en capas en las que otros sistemas confían”, añade. “WebLogic Server tiene dos problemas de este tipo con la máxima severidad, en un producto que los atacantes llevan años analizando y atacando. Oracle Coherence tiene otro, y como es un componente compartido, su riesgo se multiplica silenciosamente en todo el entorno. Oracle Unified Directory puede ser tomado sin autenticación mediante LDAP. WebCenter se sitúa en el perímetro público. Varias de estas vulnerabilidades cambian el alcance, lo que significa que una intrusión puede afectar a productos más allá del inicialmente comprometido”.

Chris Doyle, responsable de seguridad y cumplimiento en JupiterOne, coincide en que las vulnerabilidades más preocupantes son aquellas que pueden explotarse sin necesidad de robar credenciales. “Las vulnerabilidades que más destacan son las de CVSS 10.0 en Oracle Coherence y WebLogic Server, explotables remotamente sin autenticación. Coherence está en la base de muchas arquitecturas de aplicaciones empresariales, por lo que comprometerlo no afecta a un solo sistema, sino que sirve como punto de pivote hacia todo lo que depende de él”, explica. Y añade: “WebLogic ha sido durante años un objetivo de ransomware y minería de criptomonedas, y el acceso sin autenticación a la consola es precisamente el punto de entrada que buscan estas campañas”.

PeopleSoft: explotación activa y urgencia inmediata

Doyle también muestra preocupación por las vulnerabilidades en PeopleSoft. “La que presenta mayor urgencia inmediata es CVE-2026-35273 en PeopleSoft PeopleTools, que Oracle ha confirmado que ya estaba siendo explotada activamente antes incluso de que se publicara el parche. Además, PeopleSoft gestiona sistemas de recursos humanos, finanzas y estudiantes, que son objetivos prioritarios para los operadores de ransomware”, indica. “Se trata de sistemas profundamente interconectados que requieren actualizaciones coordinadas en múltiples capas con pruebas de regresión en cada paso. A menudo no existe una solución compensatoria sencilla para ganar tiempo: simplemente hay que aplicar los parches”.

Los problemas de Fusion Middleware —Oracle cita más de 30 vulnerabilidades solo en este paquete— también suponen un reto, dado cómo la mayoría de las operaciones IT gestionan el parcheo en productos al final de su vida útil. “Las organizaciones que aún lo utilizan intentan parchear un producto muy atacado al mismo tiempo que planifican una migración que no pueden posponer. Estos entornos están muy personalizados, lo que ralentiza el parcheo, y esa brecha entre ‘parche disponible’ y ‘parche aplicado’ es exactamente cuando los atacantes actúan”, señala Doyle. “Una vez finaliza el soporte, puede que nuevas vulnerabilidades no reciban ningún parche. Dado el volumen que vemos en este ciclo, asumir que la situación se calmará antes de la fecha límite no es una apuesta que yo haría”.

La carrera contra el reloj: parchear antes de que sea demasiado tarde

Gogia añade que hay pocas buenas noticias en relación con las vulnerabilidades que aún no se ha confirmado que hayan sido explotadas. “La ausencia de explotación confirmada no aporta tranquilidad. En cuanto se publica un aviso, los atacantes lo analizan, revierten la corrección, escanean los entornos empresariales expuestos y compiten contra los clientes que siguen esperando su ventana de mantenimiento”, afirma. “WebLogic no se ha vuelto peligroso de repente. Lleva años siendo un objetivo, y una de sus vulnerabilidades anteriores ya figura en el catálogo gubernamental de vulnerabilidades explotadas. Esperar a una prueba pública de explotación es la estrategia de parcheo más cara. Para cuando llega esa prueba, el trabajo silencioso ya suele estar hecho”.

Este escenario recuerda la importancia de contar con una infraestructura robusta y actualizada, como la que se aborda en nuestro análisis sobre virtualización con Proxmox. Además, la automatización de procesos de seguridad puede ser clave, tal como se describe en nuestra guía de seguridad con n8n e IA. Para entornos que ya exploran la IA, la revisión de código automatizada, como se discute en este artículo, puede ayudar a detectar vulnerabilidades antes de que sean explotadas.

Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.