🛡 VULNERABILIDADES 🛡

Parches esenciales en Oracle (abril 2026)

⏰26 de abril de 2026🛡CyberObservatorio

Idioma

◢ VULNERABILIDADES ◣

Parches esenciales en Oracle (abril 2026)

⟫ 22/04/2026 ⟫ INCIBE

Fuente: INCIBE

En el ámbito de la ciberseguridad, es crucial estar al tanto de las vulnerabilidades que afectan a diversas plataformas y aplicaciones utilizadas en las empresas. Recientemente, se han identificado diversas versiones de productos de Oracle y MySQL que presentan vulnerabilidades críticas, lo que puede colocar en riesgo la integridad de los datos y la operación de las organizaciones que dependen de estas herramientas.

Entre los productos afectados, encontramos JD Edwards EnterpriseOne Tools en las versiones 9.2.0.0 hasta 9.2.26.1. Este conjunto de herramientas es fundamental para la gestión empresarial y su compromiso puede tener graves implicaciones, dado que muchas empresas lo utilizan para integrar diferentes funciones de negocio. La exposición a CVEs (Common Vulnerabilities and Exposures) en estas versiones puede permitir a un atacante ejecutar código malicioso o acceder a información sensible.

Asimismo, el Management Cloud Engine en su versión 25.2.0.0.0 también se encuentra en la lista de productos vulnerables. Este motor de gestión en la nube es esencial para la administración eficiente de recursos en entornos cloud, y cualquier debilidad en su seguridad podría comprometer no solo datos, sino también la estabilidad de toda la infraestructura en la que se basa.

El ecosistema de MySQL también ha visto el impacto de estas vulnerabilidades, con versiones de MySQL Cluster desde la 8.0.0 hasta la 8.0.44, así como las versiones 8.4.0-8.4.7 y 9.0.0-9.5.0, que son parte de las bases de datos más utilizadas a nivel mundial. Las conexiones entre estas bases de datos son críticas para la operación de aplicaciones empresariales, lo que hace que la exposición a vulnerabilidades en MySQL Connectors y MySQL Enterprise Backup, que abarcan desde la 8.0.0 hasta la 9.6.0, sea especialmente preocupante.

El servidor MySQL, junto con MySQL Shell y MySQL Workbench en sus versiones 8.0.0 hasta 8.0.46, también presentan riesgos significativos. Un atacante que explote estas vulnerabilidades podría interrumpir el acceso a bases de datos o manipular información vital, afectando la continuidad del negocio.

Por otro lado, Oracle ha listado una extensa gama de productos que presentan vulnerabilidades. Entre ellos se encuentra el Oracle Access Manager en su versión 14.1.2.0.0, que es esencial para la gestión de identidades y accesos. La seguridad de este producto es fundamental, pues una brecha podría resultar en accesos no autorizados a sistemas críticos.

Además, otros productos como Oracle Application Express, Oracle Application Development Framework, y diversas aplicaciones dentro de la suite de Oracle Banking, desde la 14.5.0.0.0 hasta la 14.8.0.0.0, reflejan la necesidad de una vigilancia constante. Las aplicaciones de Oracle Banking son utilizadas para la gestión de transacciones financieras y la falta de seguridad en estas puede acarrear pérdidas económicas y problemas de reputación para las instituciones que las utilizan.

Por último, el considerable número de versiones de Oracle Communications, que abarca desde el EAGLE hasta el Session Border Controller, subraya la complejidad del entorno de telecomunicaciones y la importancia de mantener actualizados los sistemas para evitar riesgos cibernéticos. La interconexión de estos sistemas y su interacción con bases de datos y aplicaciones de negocio hace que cada vulnerabilidad identificada deba ser tratada con seriedad y priorizada en las agendas de ciberseguridad de las organizaciones.

La amplia variedad de productos y versiones vulnerables destaca la necesidad de implementar medidas proactivas de seguridad, así como actualizaciones regulares y parches para mitigar el riesgo de explotación. Las organizaciones deben ser conscientes de estos riesgos y actuar en consecuencia para proteger sus activos digitales y la confianza de sus clientes.

Oracle ha emitido recientemente su actualización crítica de seguridad trimestral, que incluye una serie de parches destinados a abordar vulnerabilidades de seguridad en múltiples productos de su amplio portfolio. En esta ocasión, se han resuelto un total de 241 vulnerabilidades, de las cuales un número significativo se clasifica como críticas, lo que resalta la importancia de la pronta aplicación de estas actualizaciones para mitigar posibles riesgos de seguridad.

Entre los productos afectados se encuentran versiones específicas de software que son utilizadas ampliamente en entornos empresariales y que, si no se actualizan adecuadamente, pueden ser blanco de ataques cibernéticos. Por ejemplo, Oracle Financial Services Enterprise Case Management en sus versiones 8.0.8.2, 8.1.2.10 y 8.1.2.11, así como Oracle Financial Services Lending and Leasing en las versiones 14.8.0.0.0 y 14.10.0.0.0-14.12.0.0.0, son solo algunas de las aplicaciones críticas que requieren atención inmediata.

Del mismo modo, otros productos como Oracle GoldenGate, que se encuentra en las versiones 23.4-23.26.1, y Oracle WebLogic Server, que abarca desde la versión 12.2.1.4.0 hasta la 15.1.1.0.0, también están incluidos en esta actualización. Es crucial que los administradores de sistemas y de seguridad de TI evalúen estas versiones junto con su infraestructura tecnológica para garantizar que están aplicando las medidas adecuadas frente a las vulnerabilidades que se han detectado.

La actualización crítica de parches incluye un total de 26 nuevos parches de seguridad específicamente para productos de bases de datos Oracle. De estos, 8 están destinados a productos de bases de datos Oracle en general, 2 a Oracle Autonomous Health Framework, 3 a Oracle Blockchain Platform, y 10 a Oracle GoldenGate. Este enfoque segmentado en los parches permite a las organizaciones tener un conocimiento más claro sobre qué soluciones deben ser priorizadas en función de su entorno y arquitectura de TI.

Tal y como se indica en el boletín de seguridad publicado por Oracle, la información detallada sobre cómo descargar y aplicar estos parches está disponible para facilitar el proceso de actualización. Las organizaciones deben actuar con cautela y asegurarse de que cuentan con un plan de respuesta a incidentes que contemple la rápida aplicación de estas actualizaciones, ya que el retraso en la implementación de parches puede llevar a consecuencias severas, incluyendo la exposición a ataques de explotación de vulnerabilidades.

En síntesis, la reciente actualización de seguridad de Oracle no solo resalta la naturaleza crítica de mantener el software actualizado, sino que también pone de manifiesto la necesidad de una vigilancia constante en el ámbito de la ciberseguridad. La complejidad de los entornos tecnológicos actuales exige que las empresas implementen políticas robustas de gestión de parches y que fomenten una cultura de seguridad que reconozca la importancia de estas actualizaciones como una primera línea de defensa contra las amenazas cibernéticas.

Recientemente, Oracle ha lanzado dos parches de seguridad significativos para su software Oracle REST Data Services, así como un nuevo parche destinado a la base de datos en memoria Oracle TimesTen. Estos parches son fundamentales para mitigar vulnerabilidades que podrían ser explotadas por actores maliciosos y que, si no se abordan, podrían comprometer la integridad, disponibilidad y confidencialidad de los datos.

En el caso de Oracle REST Data Services, se han identificado al menos dos CVEs (Common Vulnerabilities and Exposures) que afectan a diversas versiones de este servicio, el cual es crucial para la integración de datos y la creación de aplicaciones basadas en REST. Estos CVEs pueden permitir a un atacante no autenticado ejecutar código arbitrario en el servidor, lo que podría llevar a la exposición de datos sensibles o incluso al control total del sistema afectado. Con el fin de proteger a los usuarios y organizaciones que dependen de esta tecnología, es imperativo aplicar estos parches de seguridad con prontitud.

Por otro lado, el parche para Oracle TimesTen, una base de datos en memoria que es ampliamente utilizada en aplicaciones de alto rendimiento, también aborda vulnerabilidades críticas que podrían ser objeto de explotación. Aunque Oracle TimesTen es conocido por su velocidad y eficiencia, la falta de atención a las actualizaciones de seguridad podría dejar a las empresas vulnerables a ataques que aprovechan estas debilidades. La naturaleza de la memoria en la que opera esta base de datos implica que cualquier brecha de seguridad podría tener consecuencias inmediatas y devastadoras para las operaciones de negocio, especialmente en entornos donde la disponibilidad de datos en tiempo real es esencial.

La implementación de estos parches no solo es una recomendación de seguridad, sino una necesidad para salvaguardar la infraestructura tecnológica de las empresas que utilizan estos servicios. Las organizaciones deben establecer políticas de gestión de parches que aseguren que se apliquen de forma regular y sistemática, minimizando así el riesgo de ser víctimas de ataques cibernéticos que puedan comprometer su información crítica. En un contexto donde las amenazas a la seguridad informática son cada vez más sofisticadas y frecuentes, la diligencia en la aplicación de actualizaciones de seguridad se convierte en un pilar fundamental para la protección de los activos digitales.

◢ VULNERABILIDADES ◣

Critical Updates in Oracle (April 2026)

⟫ 22/04/2026 ⟫ INCIBE

Source: INCIBE

JD Edwards EnterpriseOne Tools, versions 9.2.0.0-9.2.26.1;

Management Cloud Engine, version 25.2.0.0.0;

MySQL Cluster, versions 8.0.0-8.0.44, 8.4.0-8.4.7, 9.0.0-9.5.0;

MySQL Connectors, versions 9.0.0-9.6.0;

MySQL Enterprise Backup, versions 8.0.0-8.0.45, 8.4.0-8.4.8, 9.0.0-9.6.0;

MySQL Server, versions 8.0.0-8.0.45, 8.4.0-8.4.8, 9.0.0-9.6.0;

MySQL Shell, versions 8.0.0-8.0.45, 8.4.0-8.4.8, 9.0.0-9.6.0;

MySQL Workbench, versions 8.0.0-8.0.46;

Oracle Access Manager, version 14.1.2.0.0;

Oracle Adapter for Eclipse RDF4J, versions 3.12.0, 21.1.8, 24.1.0;

Oracle Agile Product Lifecycle Management for Process, version 6.2.4;

Oracle Application Development Framework (ADF), versions 12.2.1.4.0, 14.1.2.0.0;

Oracle Application Express, versions 23.2.20, 23.2.21, 24.1.15, 24.1.16, 24.2.13, 24.2.15;

Oracle Application Testing Suite, version 13.3.0.1;

Oracle Autonomous Health Framework, versions 25.11-26.1;

Oracle AutoVue, version 21.1.0;

Oracle Banking Branch, versions 14.5.0.0.0-14.8.0.0.0;

Oracle Banking Cash Management, version 14.8.2.0.0;

Oracle Banking Collections and Recovery, versions 14.6.0.0.0-14.8.0.0.0;

Oracle Banking Corporate Lending, versions 14.5.0.0.0-14.8.0.0.0;

Oracle Banking Corporate Lending Process Management, versions 14.5.0.0.0-14.8.0.0.0;

Oracle Banking Credit Facilities Process Management, versions 14.5.0.0.0-14.8.0.0.0;

Oracle Banking Liquidity Management, versions 14.8.0.0.0, 14.8.1.0.0;

Oracle Banking Origination, versions 14.5.0.0.0-14.8.0.0.0;

Oracle Banking Payments, versions 14.5.0.0.0-14.8.0.0.0;

Oracle Banking Supply Chain Finance, versions 14.5.0.0.0-14.8.0.0.0;

Oracle Banking Trade Finance, versions 14.5.0.0.0-14.8.0.0.0;

Oracle Banking Trade Finance Process Management, versions 14.5.0.0.0-14.8.0.0.0;

Oracle Banking Virtual Account Management, versions 14.5.0.0.0-14.8.0.0.0;

Oracle BI Publisher, versions 7.6.0.0.0, 8.2.0.0.0;

Oracle Blockchain Platform, version 24.1.3;

Oracle Business Activity Monitoring, version 12.2.1.4.0;

Oracle Business Intelligence Enterprise Edition, versions 7.6.0.0.0, 8.2.0.0.0;

Oracle Business Process Management Suite, versions 12.2.1.4.0, 14.1.2.0.0;

Oracle Commerce Guided Search, version 11.4.0;

Oracle Communications Billing and Revenue Management, versions 15.0.0.0.0-15.0.1.0.0, 15.1.0.0.0-15.2.0.0.0;

Oracle Communications BRM - Elastic Charging Engine, versions 15.0.0.0-15.0.1.0, 15.1.0.0-15.2.0.0;

Oracle Communications Cloud Native Core Binding Support Function, version 25.1.200;

Oracle Communications Cloud Native Core Certificate Management, version 25.1.201;

Oracle Communications Cloud Native Core Console, version 25.1.201;

Oracle Communications Cloud Native Core DBTier, versions 25.1.200, 25.2.100;

Oracle Communications Cloud Native Core Network Exposure Function, versions 24.2.1, 24.2.4;

Oracle Communications Cloud Native Core Network Function Cloud Native Environment, versions 25.1.200, 25.2.200;

Oracle Communications Cloud Native Core Network Repository Function, version 25.1.204;

Oracle Communications Cloud Native Core Network Slice Selection Function, versions 25.1.100, 25.1.200;

Oracle Communications Cloud Native Core Policy, versions 25.1.200, 25.1.201, 25.1.202;

Oracle Communications Cloud Native Core Security Edge Protection Proxy, versions 25.1.200, 25.1.201, 25.2.100;

Oracle Communications Cloud Native Core Service Communication Proxy, versions 25.1.100, 25.1.200, 25.1.202, 25.2.100;

Oracle Communications Cloud Native Core Unified Data Repository, versions 25.1.100, 25.1.200;

Oracle Communications Convergence, version 3.0.3.4.0;

Oracle Communications EAGLE, version 47.0;

Oracle Communications EAGLE Application Processor, versions 17.0-17.1;

Oracle Communications EAGLE Element Management System, version 47.0.0.1.0;

Oracle Communications EAGLE LNP Application Processor, version 11.0;

Oracle Communications Element Manager, versions 9.0.0-9.0.4;

Oracle Communications Instant Messaging Server, version 10.0.1.8.0;

Oracle Communications LSMS, version 14.0;

Oracle Communications Messaging Server, version 8.1.0.0.0;

Oracle Communications Network Integrity, versions 7.3.6, 7.4.0, 7.5.0, 8.0.0;

Oracle Communications Offline Mediation Controller, versions 15.0.0.0.0-15.0.1.0.0, 15.1.0.0.0-15.2.0.0.0;

Oracle Communications Operations Monitor, versions 5.2, 6.0, 6.1;

Oracle Communications Order and Service Management, versions 7.5.0, 8.0.0;

Oracle Communications Performance Intelligence Center, versions 10.5.0.0-10.5.0.2;

Oracle Communications Policy Management, versions 15.0.0.0.0, 15.0.0.1.0;

Oracle Communications Service Catalog and Design, versions 8.0.0.6.0, 8.1.0.5.0, 8.2.0.2.0;

Oracle Communications Session Border Controller, versions 9.3.0, 10.0.0, 10.1.0;

Oracle Communications Session Report Manager, versions 9.0.0-9.0.4;

Oracle Communications Unified Assurance, versions 6.1.1-7.0.0;

Oracle Communications Unified Inventory Management, versions 7.5.0-7.5.1, 7.6.0-7.8.0, 8.0.0;

Oracle Configuration Manager, versions 13.5, 24.1;

Oracle Data Integrator, versions 12.2.1.4.0, 14.1.2.0.0;

Oracle Database Server, versions 12.1.0.2.0, 12.2.0.1.0, 19.3-19.30, 21.3-21.21, 23.4.0-23.26.1;

Oracle Documaker, versions 12.7.2-13.0.2;

Oracle E-Business Suite, versions 12.2.3-12.2.15, 15.0;

Oracle Enterprise Communications Broker, versions 4.2.0, 5.0.0;

Oracle Enterprise Manager Base Platform, versions 13.5, 24.1;

Oracle Enterprise Manager for Fusion Middleware, versions 13.5, 24.1;

Oracle Enterprise Operations Monitor, version 6.1.0.0.0;

Oracle Essbase, version 21.8.1.0.0;

Oracle Financial Services Analytical Applications Infrastructure, versions 8.0.7.9, 8.0.8.7, 8.1.2.5;

Oracle Financial Services Behavior Detection Platform, versions 8.0.8.1, 8.1.2.10, 8.1.2.11;

Oracle Financial Services Compliance Studio, version 8.1.2.9;

Oracle Financial Services Customer Screening, version 8.1.2.8.0;

Oracle Financial Services Enterprise Case Management, versions 8.0.8.2, 8.1.2.10, 8.1.2.11;

Oracle Financial Services Lending and Leasing, versions 14.8.0.0.0, 14.10.0.0.0-14.12.0.0.0;

Oracle Financial Services Model Management and Governance, version 8.1.2.7;

Oracle Financial Services Regulatory Reporting, versions 8.1.2.10, 8.1.2.11;

Oracle Financial Services Trade-Based Anti Money Laundering Enterprise Edition, version 8.0.8;

Oracle Financial Services Transaction Filtering, version 8.1.2.8.0;

Oracle FLEXCUBE Enterprise Limits and Collateral Management, versions 14.5.0.0.0-14.8.0.0.0;

Oracle Fusion Middleware, versions 12.2.1.4.0, 14.1.2.0.0;

Oracle Global Lifecycle Management OPatchAuto, versions 12.2.0.1.16-12.2.0.1.49;

Oracle GoldenGate, versions 23.4-23.26.1;

Oracle GoldenGate Big Data and Application Adapters, versions 19.1.0.0.0-19.1.0.0.21, 21.3-21.21, 23.4-23.10;

Oracle GoldenGate Stream Analytics, versions 19.1.0.0.0-19.1.0.0.14;

Oracle GraalVM Enterprise Edition, version 21.3.17;

Oracle GraalVM for JDK, versions 17.0.18, 21.0.10;

Oracle Graph Server and Client, versions 24.4.5, 25.4.1, 26.1.0;

Oracle Hospitality Cruise Shipboard Property Management (SPMS), versions 23.1.5-23.3.0;

Oracle HTTP Server, versions 12.2.1.4.0, 14.1.2.0.0;

Oracle Hyperion Infrastructure Technology, version 11.2.24.0.0;

Oracle Identity Manager, versions 12.2.1.4.0, 14.1.2.0.0, 14.1.2.1.0;

Oracle Identity Manager Connector, version 12.2.1.4.0;

Oracle Insurance Policy Administration J2EE, versions 11.3.1.0, 11.3.2.0, 12.0.5.0, 12.1.1.0;

Oracle Insurance Policy Administration Operational Data Store for Life and Annuity, version 1.0.2.1;

Oracle Java SE, versions 8u481, 8u481-b50, 8u481-perf, 11.0.30, 17.0.18, 21.0.10, 25.0.1, 25.0.2, 26;

Oracle Life Sciences Empirica Signal, versions 9.2.1-9.2.3;

Oracle Life Sciences InForm, versions 7.0.1.0, 7.0.1.1;

Oracle Managed File Transfer, versions 12.2.1.4.0, 14.1.2.0.0;

Oracle Middleware Common Libraries and Tools, versions 12.2.1.4.0, 14.1.2.0.0;

Oracle NoSQL Database, versions 1.6.5, 1.7.0;

Oracle Outside In Technology, version 8.5.8;

Oracle Product Lifecycle Analytics, version 3.6.1;

Oracle REST Data Services, versions 24.2.0, 24.2.1, 24.3.0, 24.3.1, 24.4.0, 25.1.1, 25.2.0, 25.2.1, 25.2.2, 25.2.3, 25.3.0, 25.3.1, 25.4.0;

Oracle Retail Assortment Planning, versions 15.0, 16.0;

Oracle Retail Bulk Data Integration, versions 16.0.3, 19.0.1;

Oracle Retail EFTLink, versions 21.0.0-25.0.0;

Oracle Retail Extract Transform and Load, version 13.0.5;

Oracle Retail Financial Integration, versions 16.0.3, 19.0.1;

Oracle Retail Fiscal Management, version 14.2;

Oracle Retail Integration Bus, versions 16.0.3, 19.0.1;

Oracle Retail Merchandise Financial Planning, versions 15.0, 16.0;

Oracle Retail Merchandising System, versions 16.0.3, 19.0.1;

Oracle Retail Predictive Application Server, version 16.0.3;

Oracle Retail Price Management, version 16.0.3;

Oracle Retail Service Backbone, versions 16.0.3, 19.0.1;

Oracle Retail Warehouse Management System, version 16.0;

Oracle Retail Xstore Point of Service, versions 21.0.5, 22.0.3;

Oracle Security Service, versions 12.1.3.0.0, 12.2.1.4.0;

Oracle SOA Suite, versions 12.2.1.4.0, 14.1.2.0.0;

Oracle TimesTen In-Memory Database, versions 18.1.4, 22.1.1;

Oracle Tuxedo, versions 22.1.0, 22.1.1;

Oracle Utilities Application Framework, versions 4.3.0.5.0-4.3.0.6.0, 4.4.0.0.0-4.4.0.4.0, 4.5.0.0.0-4.5.0.2.0, 25.4, 25.10, 26.4;

Oracle Utilities Live Energy Connect, versions 7.1.0.0.45, 25.12.0.0.0;

Oracle Utilities Network Management System, versions 2.4.0.1.31, 2.5.0.1.16, 2.5.0.2.10, 2.6.0.1.10, 2.6.0.2.5, 2.6.0.2.6;

Oracle Utilities Testing Accelerator, versions 7.0.0.0.7, 7.0.0.1.5, 25.4.0.0.2;

Oracle VM VirtualBox, version 7.2.6;

Oracle Web Services Manager, versions 12.2.1.4.0, 14.1.2.0.0;

Oracle WebCenter Forms Recognition, version 14.1.1.0.0;

Oracle WebCenter Sites, versions 12.2.1.4.0, 14.1.2.0.0;

Oracle WebLogic Server, versions 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0, 15.1.1.0.0;

PeopleSoft Enterprise CC Common Application Objects, version 9.2;

PeopleSoft Enterprise CS Student Records, version 9.2;

PeopleSoft Enterprise FIN Contracts, version 9.2;

PeopleSoft Enterprise FIN Maintenance Management, version 9.2;

PeopleSoft Enterprise FIN Project Costing, version 9.2;

PeopleSoft Enterprise HCM Absence Management, version 9.2;

PeopleSoft Enterprise HCM Human Resources, version 9.2;

PeopleSoft Enterprise HCM Shared Components, version 9.2;

PeopleSoft Enterprise PeopleTools, versions 8.61-8.62;

PeopleSoft Enterprise SCM Purchasing, version 9.2;

Primavera P6 Enterprise Project Portfolio Management, versions 21.12.0.0-21.12.21.6, 22.12.0.0-22.12.21.1, 23.12.0.0-23.12.18.0, 24.12.0.0-24.12.13.0, 25.12.0.0-25.12.2.0;

Primavera Unifier, versions 21.12.0-21.12.17, 22.12.0-22.12.15, 23.12.0-23.12.16, 24.12.0-24.12.13, 25.12.0-25.12.3;

Siebel Applications, versions 17.0-26.2;

Sun ZFS Storage Appliance Kit, version 8.8;

Oracle has released its quarterly critical security update with patches to address vulnerabilities affecting multiple products.

Apply the corresponding patches according to the affected products. Information to download the updates can be obtained from the security bulletin published by Oracle.

This update resolves 241 vulnerabilities, some of which are critical. The details of the resolved vulnerabilities can be consulted in the Oracle link in the "References" section.

This critical patch update contains 26 new security patches for Oracle Database products, divided as follows:

8 new security patches for Oracle Database products.

2 new security patches for Oracle Autonomous Health Framework.

3 new security patches for Oracle Blockchain Platform.

10 new security patches for Oracle GoldenGate.

2 new security patches for Oracle REST Data Services.

1 new security patch for the Oracle TimesTen In-Memory Database.

𝐗 Twitter f Facebook ☎ WhatsApp ✈ Telegram

← VOLVER A CIBERSEGURIDAD