Экстренный патч от Oracle: уязвимость CVE-2026-21992 в Identity Manager

Oracle выпустила внеочередной патч для критической и легко эксплуатируемой уязвимости (CVE-2026-21992) в Oracle Identity Manager и Oracle Web Services Manager.

Компания не сообщила, использовалась ли уязвимость в качестве zero-day, но настоятельно рекомендовала клиентам как можно скорее установить обновления или применить предложенные меры защиты.

Об уязвимости CVE-2026-21992

CVE-2026-21992 вызвана отсутствием аутентификации для критической функции.

В Oracle Identity Manager — решении для предоставления, управления и отзыва прав пользователей, ролей и доступа — CVE-2026-21992 затрагивает компонент REST WebServices.

В Oracle Web Services Manager, который устанавливается с инфраструктурой Oracle Fusion Middleware и используется для защиты веб-сервисов (API), уязвимость затрагивает компонент Web Services Security.

В обоих случаях уязвимость может быть использована неаутентифицированными злоумышленниками через HTTP и HTTPS для удалённого выполнения кода на уязвимых системах и их захвата. Для успешной эксплуатации не требуется взаимодействие с пользователем.

CVE-2026-21992 затрагивает Oracle Identity Manager и Oracle Web Services Manager версий 12.2.1.4.0 и 14.1.2.1.0. Более ранние, (ныне) неподдерживаемые версии, вероятно, также уязвимы.

«В связи с этим Oracle рекомендует клиентам выполнить обновление до поддерживаемых версий», — заявила компания.

Уязвимость повторяет активно эксплуатируемого предшественника

В ноябре 2025 года уязвимость в Oracle Identity Manager, аналогичная CVE-2026-21992, была добавлена CISA в свой каталог известных эксплуатируемых уязвимостей.

CVE-2025-61757 также была вызвана отсутствием аутентификации для критической функции и была исправлена Oracle в октябре 2025 года.

За её обнаружение были отмечены исследователи из Assetnote / Searchlight Cyber. Они опубликовали подробный технический отчёт за день до того, как CISA отметила уязвимость как активно эксплуатируемую.

Возможно, этот отчёт помог Oracle, другим исследователям или даже злоумышленникам обнаружить CVE-2026-21992.

Каким бы ни оказался случай, организациям, использующим одно или оба решения, следует быстро установить патч.

Подпишитесь на нашу экстренную e-mail рассылку, чтобы никогда не пропускать последние утечки данных, уязвимости и киберугрозы. Подписаться можно здесь!