Oracle pushes emergency fix for critical Identity Manager RCE flaw

Urgence cybersécurité : Correction critique pour Oracle Identity Manager

Oracle a publié un correctif hors cycle pour remédier à une faille critique de sécurité affectant Oracle Identity Manager et Oracle Web Services Manager. Cette vulnérabilité permet à un attaquant distant d’exécuter du code arbitraire sans nécessiter d’authentification.

Points clés :

• Gravité : Score CVSS v3.1 de 9.8 (critique).
• Accessibilité : Exploitation simple via HTTP, sans interaction utilisateur ni authentification requise.
• Périmètre : Concerne les versions 12.2.1.4.0 et 14.1.2.1.0 des deux solutions logicielles.

Vulnérabilité :

• CVE-2026-21992 : Vulnérabilité d’exécution de code à distance (RCE).

Recommandations :

• Application immédiate : Oracle recommande instamment aux clients d’appliquer les correctifs disponibles sans délai.
• Support : Ces mises à jour ne sont disponibles que pour les versions sous contrat de support (Premier ou Extended). Les utilisateurs de versions obsolètes, non supportées, restent exposés et doivent migrer vers une version activement maintenue.
• Consultation : Il est conseillé aux administrateurs de consulter l’avis de sécurité officiel d’Oracle pour obtenir les détails techniques complets et les instructions de déploiement.

Source