Oracle Critical Patch Update Enero 2026

Publicado hace 4 meses 23-01-2026

Como cada mes, Oracle ha publicado su lista de correcciones para vulnerabilidades encontradas en su lista de productos. En esta ocasión, la lista consiste en 337 correcciones para más de 30 productos de la empresa, entre ellos Oracle HTTP Server, E-Business Suite, Database Server, Siebel Applications, MySQL Server, VirtualBox entre otros.

CVE-2026-21962
Esta vulnerabilidad cuenta con una calificación CVSS3.1 de 10.0, la más alta posible, que afecta a los productos Oracle HTTP Server y Oracle Weblogic Server Proxy Plug-in, debido a un defecto en el manejo de peticiones por parte de Apache HTTP Server (la base de Oracle HTTP Server). El mayor riesgo se encuentra en que la vulnerabilidad puede ser explotada de forma remota, sin autenticación y con baja complejidad de explotación. Si un actor de amenaza consigue explotar esta vulnerabilidad, puede resultar en la creación, modificación y/o eliminación de información crítica accesible por cualquiera de los servicios afectados.  

CVE-2025-6965
Con una calificación CVSS3.1 de 7.2, esta vulnerabilidad afecta a MySQL Server directamente, afectando al ingreso de información, pues el número de objetos agregados puede exceder el de columnas disponibles, llevando a la corrupción de memoria Enel sistema. Indirectamente también afecta a Siebel CRM Cloud.

CVE-2026-21955, CVE-2026-21956, CVE-2026-21987, CVE-2026-21988, CVE-2026-21989 y CVE-2026-21990
Estas vulnerabilidades cuentan con calificaciones CVSS3.1 de 8.2 (a excepción de la última, con 8.1), afectan a los mismos componentes de Oracle VM VirtualBox. Es una vulnerabilidad fácilmente explotable por un atacante con privilegios de administrador en la infraestructura donde se encuentre alojado el servicio, si el atacante consigue explotar esta vulnerabilidad, puede tomar control total de VirtualBox y afecta a otros productos adicionales y accesibles en el sistema.
 

Versiones Afectadas

CVE-2026-21962

Productos Versiones afectadas Versiones corregidas
Oracle HTTP Server
Oracle Weblogic Server Proxy Plug-in		 12.2.1.4.0 Consultar el boletín de seguridad de Oracle: https://www.oracle.com/security-alerts/cpujan2026.html
14.1.1.0.0
14.1.2.0.0

CVE-2025-6965
Productos Versiones afectadas Versiones corregidas
SQLite Desde la version 0 a la version 3.50.2 Consultar el boletín de seguridad de Oracle: https://www.oracle.com/security-alerts/cpujan2026.html

CVE-2026-21955, CVE-2026-21956, CVE-2026-21987, CVE-2026-21988, CVE-2026-21989 y CVE-2026-21990
Productos Versiones afectadas Versiones corregidas
Oracle VM VirtualBox 7.1.14 Consultar el boletín de seguridad de Oracle: https://www.oracle.com/security-alerts/cpujan2026.html
7.2.4

Recomendaciones

  • Actualizar inmediatamente los productos afectados y revisar posibles afectaciones por software de terceros.
  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
  • Auditar herramientas de acceso remoto. (NIST CSF, 2024)
  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad. (NIST CSF, 2024)
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactorial.

Referencias

  1. Abinaya. (2026, Enero 21). Oracle Critical Security Patch – 337 Vulnerabilities Patched Across Product Families. Cyber Security News. Recuperado el 22 de enero de 2026, en: https://cybersecuritynews.com/oracle-security-patch-337-vulnerabilities/
  2. Baran, G. (2026, Enero 21). Critical Oracle WebLogic Server Proxy Vulnerability Lets Attackers Compromise the Server. Cyber Security News. Recuperado el 22 de enero de 2026, en: https://cybersecuritynews.com/oracle-weblogic-server-proxy-vulnerability/
  3. Oracle. (2026, Enero 21). Oracle Critical Patch Update Advisory—January 2026. Recuperado el 22 de enero de 2026, en: https://www.oracle.com/security-alerts/cpujan2026.html

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 3 semanas 26-05-2026

...

BOLETINES RECIENTES

...
ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas
Publicado hace 1 día 16-06-2026
Leer más
...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más