Le tout dernier lot de correctifs d'Oracle (ou Critical patch update, CPU) totalise 27 rustines, donc 8 colmatant des défauts de la base de données, et 6 concernant le serveur d'applications. Les trous de sécurités les plus importants concernent de sérieux risques d'attaques par injection SQL et par exploitation d'inconsistances dans XML DB (le danger pouvant provenir des stations « clientes »). Coté serveur d'application, Oracle précise que 5 des défauts sont potentiellement exploitables à distance. Rappelons à cette occasion l'étude publiée par Sentrigo qui laissait apparaître que 67% des utilisateurs d'Oracle, sur un échantillonnage de 300 installations, n'avaient jamais appliqué un CPU, chiffre qui démontre non pas « l'inconscience » des administrateurs Oracle, mais la difficulté et les risques supposés liés à l'application d'un code - correctif ou non - sur une application aussi stratégique qu'un SGBD ou qu'un outil métier.