Centro Nacional de Respuesta a Incidentes de Seguridad Informática

Detalles técnicos 

La actualización de abril de 2026 incluye vulnerabilidades de distinta naturaleza, destacándose:

• Fallas que permiten ejecución remota de código (RCE) sin autenticación en múltiples productos.
• Vulnerabilidades explotables a través de la red sin necesidad de credenciales.
• Alta presencia de componentes de terceros vulnerables (aprox. 78% de los CVE). 

Distribución general 

• Total de vulnerabilidades: 481
• Familias de productos afectadas: 28
• CVE de terceros: 376

Productos más impactados 

• Oracle Communications: 139 vulnerabilidades (93 sin autenticación)
• Oracle Financial Services Applications: 75 vulnerabilidades (59 sin autenticación)
• Oracle Fusion Middleware: 59 vulnerabilidades (46 sin autenticación)
• Plataformas afectadas 

Versiones afectadas: cualquier sistema sin CPU a abril 2026 aplicado, es potencialmente vulnerable.

Remediación 

Se recomienda aplicar de forma inmediata la Actualización Crítica de Parches (CPU) de abril de 2026 en todos los sistemas afectados.

• Actualizar todos los productos Oracle a las versiones que incluyan los parches de abril de 2026.  
• Seguir las recomendaciones oficiales de Oracle para cada producto específico.  
• Validar que los sistemas hayan sido correctamente parcheados. 

Mitigación

No existen mitigaciones aplicables, si no es posible aplicar los parches de inmediato se sugiere: 

• Eliminar la exposición directa a internet de los sistemas.
• Restringir el acceso a servicios vulnerables mediante controles de red.  
• Limitar el acceso a interfaces administrativas.

Referencias

Acceder al conjunto de parches, vulnerabilidades y productos afectados en Oracle