Cette veille porte sur la faille de sécurité CVE-2026-35277, découverte en mai 2026, permettant à un utilisateur faiblement privilégié de contourner les contrôles d’accès d’Oracle REST Data Services (ORDS) pour lire, modifier ou supprimer des données critiques.
Présentation d’Oracle REST Data Services (ORDS)
ORDS est un middleware Java développé par Oracle qui fait le lien entre une application web et une . C’est une sorte de traducteur : les applications parlent HTTP, les bases de données parlent SQL — ORDS traduit les deux.
Concrètement, ORDS permet d’exposer des données Oracle sous forme d’API REST (des URLs que l’on peut appeler en GET, POST, PUT, DELETE). Sans écrire une ligne de code backend, une table Oracle devient accessible comme un service web moderne.
ORDS est également le serveur indispensable pour faire fonctionner Oracle APEX, la plateforme low-code d’Oracle utilisée dans de nombreuses entreprises, banques et administrations. Sans ORDS, APEX ne fonctionne pas.
ORDS est gratuit, mais il nécessite une base de données Oracle derrière lui, qui est l’un des logiciels d’entreprise les plus coûteux du marché.
Présentation de la faille CVE-2026-35277
La faille se situe dans le composant Core d’ORDS, dans la couche qui gère les contrôles d’accès aux endpoints REST.
Son rôle normal : quand un utilisateur appelle un endpoint REST via HTTPS, ORDS doit vérifier que cet utilisateur possède bien les droits nécessaires pour accéder à la ressource demandée, en contrôlant son rôle et ses privilèges.
Le problème : à cause d’une erreur dans la logique de contrôle d’accès (CWE-284), cette vérification ne fonctionne pas correctement sur les versions 24.2.0 à 26.1.0. ORDS accepte la requête même si l’utilisateur n’a pas les droits suffisants.
Client (compte faibles droits) ORDS Core (versions 24.2.0 → 26.1.0)
│ │
│──── HTTPS GET /ords/admin/clients/ ─────────▶│
│ │
│ adbd_access_check() │ ← FAILLE ICI
│ (vérification défaillante)│
│ │
│◀─── 200 OK + données confidentielles ────────│
│ (au lieu de 403 Forbidden) │La notion clé ici est le contrôle d’accès basé sur les rôles — chaque utilisateur ne devrait voir que les données correspondant à ses droits. La faille casse cette vérification côté serveur, ce qui signifie qu’ORDS ne sait plus distinguer un utilisateur autorisé d’un simple compte basique.
Le score CVSS est de 8.1 sur 10 (HIGH), avec un impact fort sur la confidentialité et l’intégrité des données. La faille est exploitable à distance, sans interaction de la victime, avec un simple compte utilisateur.
Que faire dans ce cas ?
La mesure la plus efficace et immédiate est de restreindre l’accès réseau à l’instance ORDS via un pare-feu, en limitant les connexions aux seules adresses IP de confiance. Tant que l’instance ORDS n’est pas accessible depuis l’extérieur, la faille ne peut pas être exploitée à distance.
Patienter et surveiller la mise à jour Oracle — Oracle a publié le bulletin de sécurité dans son Critical Patch Update de mai 2026, mais le patch doit être intégré et testé dans chaque environnement de production. Dès qu’une version corrigée (> 26.1.0) est disponible, l’installer immédiatement.
En parallèle, il est recommandé d’auditer les comptes ayant accès à ORDS et de supprimer tous les accès inutiles dans l’attente du correctif.
Sources
OpenCVE : ici
NVD : ici