Nové zranitelnosti v katalogu CISA KEV – vydání 29 b
CVE-2026-46817 postihuje modul Oracle Payments v rámci produktu Oracle E-Business Suite. Jde o chybu v řízení privilegií, která umožňuje neautentizovanému útočníkovi s přístupem přes HTTP vzdáleně kompromitovat celý modul Oracle Payments. Úspěšné zneužití může vést k úplnému přístupu k tomuto modulu – tedy ke schopnosti číst, modifikovat nebo rušit platební transakce a konfiguraci. Oracle E-Business Suite je rozšířená podniková platforma nasazovaná v řadě výrobních, obchodních i veřejnosprávních organizací; Oracle Payments je přitom modul integrovaný se skutečnými platebními toky. Záplata je popsána v Oracle Critical Patch Update z července 2026. Lhůta pro aplikaci záplaty je stanovena na 18. července – tedy v době zveřejnění tohoto článku zbývají pouze dny. Organizace, které Oracle E-Business Suite provozují, by měly okamžitě ověřit dostupnost záplaty a stav aplikace.
CVE-2023-4346 se týká protokolu KNX a konkrétně mechanismu Connection Authorization Option 1 (BCU key). KNX je průmyslový standard pro automatizaci budov – pokrývá řízení osvětlení, topení, ventilace, klimatizace, přístupu a dalších systémů v komerčních i rezidenčních budovách. Zranitelnost spočívá v příliš restriktivním mechanismu uzamknutí účtu (CWE-645): útočník může tuto vlastnost zneužít k vymazání všech zařízení bez dodatečných bezpečnostních voleb a ke změně BCU klíče, čímž efektivně uzamkne zařízení a odepře přístup legitimnímu správci.
Zranitelnost protokolu KNX má specifický dopad v kontextu kritické infrastruktury a správy budov. Systémy BMS (Building Management Systems) řídí provozně důležité funkce nemocnic, datových center, úřadů a průmyslových objektů; útok na KNX vrstvu může vést k výpadku řízení těchto funkcí i bez přístupu k IT infrastruktuře. Nápravné kroky závisí na konkrétním dodavateli implementace KNX – správci by měli kontaktovat výrobce svých KNX zařízení a ověřit dostupnost aktualizace firmware. Lhůta stanovená CISA je 29. července 2026.

Další články

OkoBot krade seed phrases z Ledgeru a Trezoru: modul SeedHunter útočí zevnitř legitimní aplikace

Nové zranitelnosti v katalogu CISA KEV – vydání 29b

