Η Oracle κυκλοφόρησε μια ενημέρωση ασφαλείας εκτός ζώνης για να διορθώσει ένα κρίσιμο θέμα ευπάθειας εκτέλεσης απομακρυσμένου κώδικα χωρίς έλεγχο ταυτότητας στο Identity Manager και στο Web Services Manager που παρακολουθείται ως CVE-2026-21992.
Το Oracle Identity Manager χρησιμοποιείται για τη διαχείριση ταυτοτήτων και την πρόσβαση σε μια επιχείρηση, ενώ το Oracle Web Services Manager παρέχει στοιχεία ελέγχου ασφάλειας και διαχείρισης για υπηρεσίες web.
Σε μια συμβουλευτική που κυκλοφόρησε χθες, η Oracle συνιστά “ενθερμά” στους πελάτες να εφαρμόσουν τις ενημερώσεις κώδικα το συντομότερο δυνατό.
“Αυτή η ειδοποίηση ασφαλείας αντιμετωπίζει την ευπάθεια CVE-2026-21992 στο Oracle Identity Manager και στο Oracle Web Services Manager. Αυτή η ευπάθεια μπορεί να εκμεταλλευτεί εξ αποστάσεως χωρίς έλεγχο ταυτότητας. Εάν γίνει επιτυχής εκμετάλλευση, αυτή η ευπάθεια μπορεί να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα”, αναφέρεται στο συμβουλευτική για την ασφάλεια.
“Η Oracle συνιστά ανεπιφύλακτα στους πελάτες να εφαρμόζουν τις ενημερώσεις ή τους μετριασμούς που παρέχονται από αυτήν την Ειδοποίηση Ασφαλείας το συντομότερο δυνατό. Η Oracle συνιστά πάντα στους πελάτες να παραμένουν σε εκδόσεις που υποστηρίζονται ενεργά και να εφαρμόζουν όλες τις ενημερώσεις ασφαλείας και τις ενημερώσεις κώδικα ασφαλείας Κρίσιμης Ενημερωμένης έκδοσης κώδικα χωρίς καθυστέρηση.”
Η ευπάθεια CVE-2026-21992 έχει βαθμολογία σοβαρότητας CVSS v3.1 9,8 και επηρεάζει τις εκδόσεις 12.2.1.4.0 και 14.1.2.1.0 του Oracle Identity Manager, καθώς και τις εκδόσεις 12.2.1.14.0.0 και Oracle Web Services Manager 12.2.1.14.0.0.
Η Oracle λέει ότι το ελάττωμα είναι χαμηλής πολυπλοκότητας, μπορεί να εκμεταλλευτεί εξ αποστάσεως μέσω HTTP και δεν απαιτεί έλεγχο ταυτότητας ή αλληλεπίδραση με τον χρήστη, αυξάνοντας τον κίνδυνο εκμετάλλευσης σε εκτεθειμένους διακομιστές.
Η επιδιόρθωση κυκλοφόρησε μέσω αυτής Πρόγραμμα ειδοποίησης ασφαλείαςτο οποίο παρέχει επιδιορθώσεις ή μετριασμούς εκτός χρονοδιαγράμματος για κρίσιμα τρωτά σημεία ή ευπάθειες που χρησιμοποιούνται ενεργά. Ωστόσο, η Oracle λέει ότι οι ενημερώσεις κώδικα που κυκλοφορούν μέσω αυτών των προγραμμάτων προσφέρονται μόνο για εκδόσεις στο πλαίσιο Premier ή Extended Support και οι παλαιότερες μη υποστηριζόμενες εκδόσεις ενδέχεται να είναι ευάλωτες.
Η Oracle δεν κοινοποίησε εάν η ευπάθεια έχει γίνει αντικείμενο εκμετάλλευσης και η BleepingComputer επικοινώνησε μαζί της για να μάθει περισσότερα.
Σε ξεχωριστό ανάρτηση ιστολογίου που δημοσιεύθηκε σήμερα, η Oracle σημείωσε για άλλη μια φορά τη σοβαρότητα του CVE-2026-21992 και προειδοποίησε τους πελάτες να ελέγξουν την ειδοποίηση ασφαλείας για πλήρεις λεπτομέρειες και πληροφορίες ενημέρωσης κώδικα.
Το κακόβουλο λογισμικό γίνεται πιο έξυπνο. Η Κόκκινη Έκθεση 2026 αποκαλύπτει πώς οι νέες απειλές χρησιμοποιούν τα μαθηματικά για να ανιχνεύουν sandbox και να κρύβονται σε κοινή θέα.
Κατεβάστε την ανάλυσή μας για 1,1 εκατομμύρια κακόβουλα δείγματα για να αποκαλύψετε τις 10 κορυφαίες τεχνικές και να δείτε εάν η στοίβα ασφαλείας σας έχει τυφλωθεί.
VIA: bleepingcomputer.com
