Oracle Patches Critical CVE-2026-21992 Enabling Unauthenticated RCE in Identity Manager

Vulnérabilité critique de RCE dans Oracle Identity Manager

Oracle a publié des correctifs de sécurité pour contrer une faille critique affectant Oracle Identity Manager et Oracle Web Services Manager. Cette vulnérabilité permet à un attaquant distant, non authentifié, d’exécuter du code arbitraire sur les instances ciblées via une simple requête HTTP.

Points clés :

• La faille est jugée “facilement exploitable” en raison de l’absence de nécessité d’authentification.
• Bien qu’aucune exploitation active ne soit signalée pour cette CVE spécifique, la criticité du score CVSS impose une mise à jour immédiate.
• Le contexte est marqué par une vigilance accrue suite à l’exploitation active d’une vulnérabilité similaire (CVE-2025-61757) signalée par la CISA fin 2025.

Vulnérabilité identifiée :

• CVE-2026-21992 : Score CVSS de 9.8/10.

Produits impactés :

• Oracle Identity Manager : versions 12.2.1.4.0 et 14.1.2.1.0.
• Oracle Web Services Manager : versions 12.2.1.4.0 et 14.1.2.1.0.

Recommandations :

• Appliquer les correctifs de sécurité fournis par Oracle sans délai pour protéger les infrastructures contre une prise de contrôle totale.

Source