Компания Oracle выпустила внеплановое обновление безопасности для устранения критической уязвимости удаленного выполнения кода без аутентификации в продуктах Identity Manager и Web Services Manager, отслеживаемой как CVE-2026-21992.
Oracle Identity Manager используется для управления идентификацией и доступом в рамках предприятия, а Oracle Web Services Manager обеспечивает безопасность и средства управления для веб-сервисов.
Во вчерашнем бюллетене Oracle «настоятельно» рекомендует клиентам применить исправления как можно скорее.
“Данное оповещение о безопасности касается уязвимости CVE-2026-21992 в Oracle Identity Manager и Oracle Web Services Manager. Эта уязвимость может быть использована удаленно без аутентификации. В случае успешной эксплуатации данная уязвимость может привести к удаленному выполнению кода”, — говорится в бюллетене безопасности.
“Oracle настоятельно рекомендует клиентам применить обновления или меры по смягчению последствий, указанные в данном оповещении о безопасности, как можно скорее. Oracle всегда рекомендует клиентам использовать активно поддерживаемые версии и незамедлительно применять все оповещения о безопасности и исправления безопасности Critical Patch Update”.
Уязвимость CVE-2026-21992 имеет оценку критичности CVSS v3.1 9.8 и затрагивает версии Oracle Identity Manager 12.2.1.4.0 и 14.1.2.1.0, а также версии Oracle Web Services Manager 12.2.1.4.0 и 14.1.2.1.0.
Oracle заявляет, что сложность данной уязвимости низкая, она может быть использована удаленно через HTTP и не требует аутентификации или взаимодействия с пользователем, что повышает риск ее эксплуатации на открытых серверах.
Исправление было выпущено в рамках программы Security Alert, которая предоставляет внеплановые исправления или меры по смягчению последствий для критических или активно эксплуатируемых уязвимостей. Однако Oracle отмечает, что исправления, выпускаемые в рамках этих программ, предлагаются только для версий, находящихся на поддержке Premier или Extended Support, и более старые неподдерживаемые версии могут оставаться уязвимыми.
Oracle не сообщила, была ли уязвимость уже использована, и BleepingComputer обратилась к ним за дополнительной информацией.
В отдельном сообщении в блоге, опубликованном сегодня, Oracle еще раз подчеркнула серьезность CVE-2026-21992 и посоветовала клиентам ознакомиться с оповещением о безопасности для получения полной информации и сведений об исправлении.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lawrence Abrams
