Comme prévu, Oracle a publié ses premiers correctifs de sécurité dans le cadre de son nouveau cycle mensuel de mises à jour de sécurité critiques (CSPU). Son objectif : adresser les failles urgentes qui ne peuvent attendre la publication trimestrielle de correctifs qui était jusqu'à présent en vigueur. Alors quoi de neuf dans ce bulletin ? 35 brèches ont été corrigées, dont plusieurs pour lesquelles un code d'exploitation est accessible. Sur l’ensemble, 11 vulnérabilités sont qualifiées de critiques, 18 sont de gravité élevée et 6 moyenne. Sur le papier, plusieurs services sont touchés comme la base de données d’Oracle, Rest Data Services (permettant d’exposer par API le contenu d’une base de données), E-Business Suite, le portail Universal Work Queue et Payments.

Dans le flot de correctifs, les équipes de sécurité et les administrateurs voudront probablement commencer par une série de brèches plus anciennes mais toujours graves pour lesquelles il existerait, selon certaines informations, un PoC d'exploit. Sont concernées les CVE-2025-15467, CVE-2025-58050 et CVE-2026-25646 concernant Communications Unified Assurance, ainsi que la CVE-2026-2332 identifiée dans Rest Data Services. Toutes concernent des composants open source intégrés aux produits Oracle, et l’une d’entre elles, CVE-2025-58050, a été rendue publique pour la première fois en août dernier, soulignant le temps que peut prendre la correction des failles liées à la supply chain dans les plateformes modernes.

Une fréquence qui se met progressivement en place

Dans les priorités, la CVE-2026-46840 (au score de gravité de 10) affecte le composant backend-as-a-service des versions 24.2.0 à 26.1.0 de la passerelle Rest Data Services. La brèche rend cette interface facilement exploitable par un attaquant non authentifié via HTTPS, pouvant déboucher sur la prise de contrôle de la passerelle, ce qui en fait une cible hautement prioritaire pour les attaquants. Toujours sur ce service, les CVE-2026-46775 et CVE-2026-46839 affectent le cœur avec une gravité de 9,9. Elles évitent de justesse le score CVSS de 10 par le seul fait qu’il faut disposer d’identifiants réseau pour les exploiter

Annoncé plus tôt ce mois-ci, les correctifs de sécurité (CSPU) mensuel permet une mise à jour plus légère pour corriger des failles de gravité élevée, en amont des mises à jour Critical Patch Updates (CPU) plus importantes et plus globales qui continueront d’être publiées tous les trimestres. La première CSPU a été publiée jeudi dernier. Dans ses notes de mise à jour, le fournisseur a déclaré qu’il « fournit des correctifs de sécurité ciblés et hautement prioritaires dans un format plus compact et plus spécifique, ce qui facilite leur application avec un minimum de perturbations ». Malgré le battage médiatique autour des systèmes automatisés de détection des vulnérabilités basés sur l'IA, tels que le programme Trusted Access for Cyber d'OpenAI ou Claude Mythos, auxquels Oracle a déclaré avoir accès, aucune des vulnérabilités découvertes en mai n'a été attribuée à ces systèmes. Le passage à un cycle de mise à jour mensuel aligne Oracle sur des éditeurs de logiciels comme Microsoft et Adobe, et semble répondre à l'augmentation du nombre de failles de sécurité de gravité élevée actuellement signalées. À l'avenir, la société publiera des CSPU le troisième mardi de chaque mois, les quatre premières étant prévues pour le 16 juin, le 21 juillet, le 18 août et le 15 septembre. Les clients d'Oracle recevront ces correctifs automatiquement.