Oracle heeft een Security Alert uitgebracht voor een kritieke kwetsbaarheid in Oracle Identity Manager en Oracle Web Services Manager. De kwetsbaarheid, aangeduid als CVE-2026-21992, maakt het mogelijk om op afstand code uit te voeren zonder dat een aanvaller zich hoeft te authenticeren. Daarmee behoort het lek tot de meest ernstige categorie binnen enterprise software.
De kwetsbaarheid heeft een CVSS-score van 9.8 en is volgens Oracle eenvoudig te misbruiken via netwerktoegang. Er is geen gebruikersinteractie vereist en aanvallers hebben geen geldige inloggegevens nodig om een aanval uit te voeren. In het geval van succesvolle exploitatie kan dit leiden tot volledige compromittering van systemen, waarbij vertrouwelijkheid, integriteit en beschikbaarheid in gevaar komen.
Oracle heeft ervoor gekozen om de patch buiten de reguliere updatecyclus uit te brengen. Dergelijke out of band updates worden doorgaans alleen ingezet wanneer er sprake is van een uitzonderlijk hoog risico of wanneer snelle mitigatie noodzakelijk is. In het bijbehorende advisory roept het bedrijf klanten met klem op om de beschikbare updates zo snel mogelijk toe te passen.
De kwetsbaarheid treft Oracle Identity Manager en Oracle Web Services Manager in de versies 12.2.1.4.0 en 14.1.2.1.0. Beide producten maken deel uit van de Fusion Middleware stack en worden veel gebruikt in grote organisaties voor identity management en het beveiligen van webservices. Doordat de kwetsbaarheid zich bevindt in webgerelateerde componenten en via HTTP kan worden misbruikt, lopen met name systemen die extern toegankelijk zijn verhoogd risico.
Oracle zwijgt over exploitatie
Internationale media, waaronder BleepingComputer, melden dat Oracle geen uitspraken doet over de vraag of de kwetsbaarheid al actief wordt misbruikt. Het bedrijf heeft verzoeken om commentaar hierover afgewezen. Dit betekent dat organisaties moeten handelen zonder duidelijkheid over eventuele exploitatie in het wild, wat de urgentie van patching verder onderstreept.
Oracle wijst er daarnaast op dat patches alleen beschikbaar worden gesteld voor versies die onder Premier Support of Extended Support vallen. Oudere versies worden niet getest, maar het is aannemelijk dat deze eveneens kwetsbaar zijn. Organisaties die nog dergelijke versies draaien, wordt geadviseerd om zo snel mogelijk te upgraden naar een ondersteunde release.
De combinatie van een zeer hoge ernstscore, het ontbreken van authenticatie en de mogelijkheid tot remote code execution maakt CVE-2026-21992 tot een direct risico voor organisaties die gebruikmaken van de getroffen software. Oracle benadrukt dat het tijdig installeren van security updates essentieel blijft om systemen te beschermen tegen mogelijke aanvallen.