أصدرت شركة Oracle حزمة التحديثات الأمنية الفصلية، والتي تضمنت 481 تصحيحاً أمنياً لمعالجة 241 ثغرة أمنية فريدة مسجلة عالمياً، موزعة على 28 عائلة من منتجات الشركة المختلفة.
وشددت الشركة في بيانها الرسمي على ضرورة التثبيت الفوري لهذه التحديثات؛ نظراً لرصد محاولات نشطة لاستغلال ثغرات جرى إصلاحها سابقاً، حيث سُجل نجاح لبعض الهجمات الرقمية في بيئات العمل التي لم تلتزم بتطبيق التصحيحات المتاحة فور صدورها.
ويعد تحديث أبريل الإصدار الفصلي الثاني للشركة خلال عام 2026، وقد كشف عن وجود 34 تصحيحاً صُنفت بدرجة خطورة “حرجة”، وهو ما يعادل 7.1% من المجموع الكلي للتصحيحات، وشملت هذه الفئة 22 ثغرة أمنية فريدة.
وبناء على التوزيع العام لمستويات الخطورة، استحوذت الثغرات “عالية الخطورة” على 221 تصحيحاً، في حين خُصص 212 تصحيحاً للثغرات “متوسطة الخطورة”، و14 تصحيحاً للثغرات ذات “الخطورة المنخفضة”.
خارطة توزيع التصحيحات الأمنية واتساع نطاق التأثير في المنتجات
أظهر توزيع التحديثات على منتجات Oracle تنوعاً كبيراً يعكس اتساع سطح الهجوم في بيئات التشغيل المعقدة؛ حيث تصدر قطاع Oracle Communications القائمة بـ 139 تصحيحاً، ما يشكل 28.9% من إجمالي التحديثات.
وجاءت تطبيقات Oracle Financial Services Applications في المرتبة الثانية بواقع 75 تصحيحاً، تلتها برمجيات Oracle Fusion Middleware بـ 59 تصحيحاً، ثم Oracle MySQL التي حصلت على 34 تصحيحاً، بالإضافة إلى 21 تصحيحاً لمنصة Oracle PeopleSoft و18 تصحيحاً لنظام Oracle E-Business Suite.
شملت الحزمة أيضاً مجموعة واسعة من المنتجات الأخرى؛ إذ حصل كل من Oracle Analytics وOracle Retail Applications على 15 تصحيحاً، ونال نظام Oracle Siebel CRM 14 تصحيحاً، في حين خُصص 11 تصحيحاً لبيئة Oracle Java SE و10 تصحيحات لبرمجية Oracle GoldenGate.
واستمر نطاق الإصلاحات ليشمل Oracle Enterprise Manager وOracle Virtualization بتسعة تصحيحات لكل منهما، وOracle Database Server بثمانية تصحيحات، وOracle Utilities Applications بسبعة، وOracle Hyperion بستة تصحيحات، مع تخصيص أربعة تصحيحات لكل من Oracle Construction and Engineering وOracle Life Science Applications وOracle Supply Chain.
واختتمت القائمة بإصلاحات لمنتجات Oracle Blockchain Platform وOracle Commerce وOracle JD Edwards بواقع ثلاثة تصحيحات لكل منها، وشملت كذلك Oracle Adapter for Eclipse RDF4J وOracle Autonomous Health Framework وOracle REST Data Services وOracle Systems بتصحيحين لكل منتج، وصولاً إلى تصحيح واحد لكل من Oracle TimesTen In-Memory Database وOracle Hospitality Applications.
تقييم المخاطر التشغيلية وقابلية الاستغلال عن بُعد دون مصادقة
أشارت البيانات الفنية إلى أن عدداً كبيراً من هذه الثغرات يتسم بقابلية الاستغلال عبر الشبكة دون الحاجة إلى بيانات اعتماد أو تسجيل دخول؛ ما يرفع مستوى التهديد الأمني بشكل ملحوظ. وقد سجل قطاع Oracle Communications 93 ثغرة من هذا النوع، تلاه قطاع Oracle Financial Services Applications بـ 59 ثغرة، ثم Oracle Fusion Middleware بـ 46 ثغرة.
كما رصدت التقارير وجود ثغرات قابلة للاستغلال دون مصادقة في قطاعات أخرى، شملت 15 ثغرة في Oracle Retail Applications، و13 في Oracle Siebel CRM، و11 في Oracle Analytics، وثماني ثغرات في كل من Oracle E-Business Suite وOracle Enterprise Manager.
وبلغ عدد الثغرات التي تتيح الوصول غير المصرح به سبع ثغرات في كل من Oracle PeopleSoft وOracle Java SE وOracle GoldenGate، بينما سجل نظام Oracle Database Server وOracle Hyperion أربع ثغرات لكل منهما، بالإضافة إلى ست ثغرات في Oracle Utilities Applications.
وتضمنت القائمة أيضاً ثلاث ثغرات في كل من Oracle MySQL، وOracle Construction and Engineering، وOracle Life Science Applications، وOracle JD Edwards. كما سجلت ثغرتان في كل من Oracle Supply Chain، وOracle Blockchain Platform، وOracle Commerce، وOracle Adapter for Eclipse RDF4J، وOracle REST Data Services. وصولاً إلى ثغرة واحدة في منتجات شملت Oracle Autonomous Health Framework، وOracle Systems، وOracle TimesTen In-Memory Database، وOracle Hospitality Applications، وOracle Virtualization.
اعتمدت Oracle في تقييم شدة هذه الثغرات على معيار CVSS v3.1 العالمي، وأكدت أن تحديث أبريل يعالج أيضاً التنبيه الأمني العاجل الصادر في 20 مارس 2026 والخاص بالثغرة CVE-2026-21992 في أنظمة الهوية والخدمات.
