Oracle đã phát hành các bản cập nhật bảo mật để khắc phục một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Identity Manager và Web Services Manager, có thể bị khai thác để thực hiện tấn công thực thi mã từ xa (RCE).
Lỗ hổng này, được theo dõi với mã CVE-2026-21992, có điểm CVSS là 9.8 trên thang điểm tối đa 10.0.
Oracle cho biết trong một khuyến cáo: "Lỗ hổng này có thể bị khai thác từ xa mà không cần xác thực. Nếu khai thác thành công, lỗ hổng này có thể dẫn đến việc thực thi mã từ xa (RCE)."
CVE-2026-21992 ảnh hưởng đến các phiên bản sau -
- Oracle Identity Manager phiên bản 12.2.1.4.0 và 14.1.2.1.0
- Oracle Web Services Manager phiên bản 12.2.1.4.0 và 14.1.2.1.0
Theo mô tả về lỗ hổng trong Cơ sở dữ liệu lỗ hổng quốc gia (NVD) của NIST, nó "dễ dàng bị khai thác" và có thể cho phép kẻ tấn công không cần xác thực có quyền truy cập mạng qua HTTP để xâm nhập vào Oracle Identity Manager và Oracle Web Services Manager. Điều này có thể dẫn đến việc chiếm quyền kiểm soát thành công các phiên bản dễ bị tổn thương.
Oracle không đề cập đến việc lỗ hổng này đang bị khai thác trên thực tế. Tuy nhiên, gã khổng lồ công nghệ này đã kêu gọi khách hàng áp dụng bản cập nhật ngay lập tức để được bảo vệ tối ưu.
Vào tháng 11 năm 2025, Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã bổ sung CVE-2025-61757 (điểm CVSS: 9.8), một lỗ hổng thực thi mã từ xa (RCE) tiền xác thực ảnh hưởng đến Oracle Identity Manager, vào danh mục Lỗ hổng đã bị khai thác (KEV), với bằng chứng về việc khai thác tích cực.
