Birden fazla ürün ailesini kapsayan 337 yeni güvenlik açığını ele alan Ocak 2026 Kritik Yama Güncellemesi, kurumsal sistemler genelinde yaygın riskleri azaltmak için kapsamlı bir güvenlik girişimine işaret ediyor.
Yama, veritabanı sistemleri, ara katman yazılımları, iletişim platformları ve finansal uygulamalar da dahil olmak üzere Oracle’ın kapsamlı ürün ekosistemi için kritik düzeltmeleri kapsıyor.
En ciddi güvenlik açıkları arasında, Oracle Commerce Guided Search’ü etkileyen CVE-2025-66516, en yüksek önem derecesi olan 10,0 CVSS puanına sahiptir ve Apache Tika entegrasyonu aracılığıyla kimlik doğrulaması olmadan uzaktan kullanılabilir.
Etkilenen Temel Bileşenler
Veritabanı ürünleri, Oracle Database Server (7 yama), Oracle APEX, Oracle Essbase, Oracle GoldenGate (5 yama) ve Oracle Graph Server’daki güvenlik açıklarını gideren 18 yeni güvenlik yaması aldı.
| Ürün | Yamalar |
|---|---|
| Oracle Veritabanı Sunucusu | 7 |
| Oracle APEX | Dahil |
| Oracle Essbase | Dahil |
| Oracle GoldenGate | 5 |
| Oracle Grafik Sunucusu | Dahil |
| Toplam | 18 |
Oracle Communications paketi özellikle 56 yeni yamayla etkilendi ve bunu bankacılık, faturalandırma ve uyumluluk sistemlerine yönelik 38 yamayla Oracle Finansal Hizmetler Uygulamaları izledi.
Güvenlik açığı manzarası, kimlik doğrulama gerektirmeyen, uzaktan yararlanılabilen 115 güvenlik açığını ortaya çıkarıyor; bu, internete yönelik sistemler için önemli bir endişe kaynağıdır.
| Ürün Kategorisi | Bileşenler | Yamalar |
|---|---|---|
| Oracle İletişim Paketi | Çeşitli modüller | 56 |
| Oracle Finansal Hizmetler Uygulamaları | Bankacılık, faturalandırma, uyumluluk sistemleri | 38 |
CVSS puanları 2,4 ile 10,0 arasında değişirken Oracle Fusion Middleware gibi kritik altyapı bileşenleri 51 yama ve birden fazla yüksek önem derecesine sahip risklere sahiptir.
Apache Tika, Spring Framework, Apache Commons kitaplıkları ve OpenSSL dahil olmak üzere çok sayıda güvenlik açığı üçüncü taraf bileşen zayıflıklarını içerir.
Bu bağımlılıklar, birden fazla üründe eşzamanlı basamaklı teşhir yaratır.
Pek çok güvenlik açığı kullanıcı etkileşimi gerektirmeden HTTP, HTTPS ve TLS gibi ağ protokolleri aracılığıyla otomatik istismara olanak tanıyor.
Oracle, yama uygulanmamış sistemlere yönelik aktif istismar girişimlerine dikkat çekerek yamaların derhal uygulanmasını önemle vurgulamaktadır.
Kuruluşlar, üretim dışı ortamlarda yamaları test ederken kritik puanlama güvenlik açıklarına öncelik vermelidir.
Danışma belgesi, Premier veya Genişletilmiş Destek aşamaları sırasında aktif olarak desteklenen ürün sürümlerine yükseltme yapılmasını açıkça önerir.
Bu üç aylık Kritik Yama Güncelleme döngüsü, 21 Nisan, 21 Temmuz ve 20 Ekim 2026 için planlanan sürümlerle devam edecek.
Çeşitli Oracle ortamlarını yöneten kuruluşlar, koordineli dağıtım stratejileri gerektiren önemli yama yönetimi karmaşıklığıyla karşı karşıyadır.
Bu güncellemenin ölçeği, düzinelerce ürün ailesindeki 337 güvenlik açığı, Oracle’ın güvenlik duyarlılığı konusundaki kararlılığının altını çizerken, kurumsal kurulumların önemli saldırı yüzeyini de vurguluyor.
Güvenlik ekipleri, tehdit aktörleri açıkları silahlandırmadan önce en yüksek puana sahip güvenlik açıklarından etkilenmeyi azaltmak için hızlı değerlendirme ve dağıtıma öncelik vermelidir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
