Η Oracle εξέδωσε μια ειδοποίηση ασφαλείας εκτός ζώνης που αντιμετωπίζει μια κρίσιμη ευπάθεια εκτέλεσης απομακρυσμένου κώδικα (RCE), το CVE-2026-21992, που επηρεάζει δύο ευρέως αναπτυγμένα στοιχεία Fusion Middleware, το Oracle Identity Manager και το Oracle Web Services Manager.
Η ευπάθεια φέρει μια βασική βαθμολογία CVSS 3.1 9,8, τοποθετώντας την μεταξύ των πιο σοβαρών ταξινομήσεων στο πλαίσιο κινδύνου της Oracle.
Το CVE-2026-21992 είναι ένα ελάττωμα χωρίς έλεγχο ταυτότητας, απομακρυσμένα εκμεταλλεύσιμο, το οποίο δεν απαιτεί αλληλεπίδραση με τον χρήστη ή ειδικά προνόμια για την εκμετάλλευση του. Το διάνυσμα επίθεσης βασίζεται σε δίκτυο με χαμηλή πολυπλοκότητα, που σημαίνει ότι ένας παράγοντας απειλής χρειάζεται μόνο πρόσβαση HTTP σε ένα εκτεθειμένο τελικό σημείο για να ενεργοποιήσει πιθανώς την απομακρυσμένη εκτέλεση κώδικα.
Και οι δύο κατηγορίες επιπτώσεων Εμπιστευτικότητα, Ακεραιότητα και Διαθεσιμότητα βαθμολογούνται Υψηλή, υποδεικνύοντας ότι μια επιτυχημένη εκμετάλλευση θα μπορούσε να δώσει στον εισβολέα πλήρη έλεγχο του επηρεαζόμενου συστήματος.
Στο Oracle Identity Manager, η ευπάθεια βρίσκεται στο στοιχείο REST Web Services, ενώ στο Oracle Web Services Manager, το ελάττωμα υπάρχει στη λειτουργική μονάδα Web Services Security.
Η Oracle σημειώνει ότι το Web Services Manager εγκαθίσταται συνήθως μαζί με το Oracle Fusion Middleware Infrastructure, επεκτείνοντας την επιφάνεια πιθανής επίθεσης σε εταιρικές αναπτύξεις.
Εκδόσεις που επηρεάζονται
Η ευπάθεια επηρεάζει τις ακόλουθες εκδόσεις προϊόντων:
| Προϊόν | Εκδόσεις που επηρεάζονται |
|---|---|
| Oracle Identity Manager | 12.2.1.4.0, 14.1.2.1.0 |
| Oracle Web Services Manager | 12.2.1.4.0, 14.1.2.1.0 |
Και οι δύο επηρεαζόμενες εκδόσεις εμπίπτουν στην ενημερωμένη έκδοση κώδικα Fusion Middleware, με τεκμηρίωση ενημέρωσης κώδικα διαθέσιμη μέσω της συμβουλευτικής σελίδας της Oracle Security Alert και της Υποστήριξης My Oracle (Αναγνωριστικό εγγράφου KB878741).
Η βαθμολογία CVSS 9,8 χωρίς απαίτηση ελέγχου ταυτότητας καθιστά αυτήν την ευπάθεια ιδιαίτερα επικίνδυνη για οργανισμούς με αναπτύξεις Oracle Fusion Middleware που έχουν πρόσβαση στο Διαδίκτυο.
Το Oracle Identity Manager είναι μια ευρέως χρησιμοποιούμενη πλατφόρμα διακυβέρνησης ταυτότητας και το Oracle Web Services Manager χειρίζεται την επιβολή πολιτικών ασφαλείας για υπηρεσίες ιστού και τα δύο είναι κρίσιμα στοιχεία υποδομής σε μεγάλα εταιρικά και κυβερνητικά περιβάλλοντα. Η εκμετάλλευση οποιουδήποτε από τα δύο θα μπορούσε να οδηγήσει σε πλήρη παραβίαση του συστήματος, κλοπή διαπιστευτηρίων ή πλευρική μετακίνηση στα συνδεδεμένα συστήματα.
Η Oracle προτρέπει θερμά όλους τους πελάτες να εφαρμόσετε αμέσως τα διαθέσιμα patches. Η ειδοποίηση, που κυκλοφόρησε αρχικά στις 19 Μαρτίου 2026, έλαβε μια ενημερωμένη αναθεώρηση στις 20 Μαρτίου 2026, με μια πρόσθετη σημείωση από την Oracle.
Συνιστάται στους οργανισμούς που εκτελούν μη υποστηριζόμενες εκδόσεις των επηρεαζόμενων προϊόντων να κάνουν αναβάθμιση σε μια υποστηριζόμενη έκδοση, καθώς οι ενημερώσεις κώδικα παρέχονται μόνο για εκδόσεις στις φάσεις Υποστήριξης Premier ή Εκτεταμένης υποστήριξης σύμφωνα με την Πολιτική Υποστήριξης Διάρκειας ζωής της Oracle.
Οι ομάδες ασφαλείας θα πρέπει να δώσουν προτεραιότητα στην επιδιόρθωση τυχόν εξωτερικά προσβάσιμων παρουσιών και να ελέγχουν την έκθεση HTTP/HTTPS των τελικών σημείων ασφαλείας των Υπηρεσιών Ιστού REST και Υπηρεσιών Ιστού μέχρι να ολοκληρωθεί η αποκατάσταση. Οι πελάτες μπορούν να ανατρέξουν στον πλήρη πίνακα κινδύνου και στις αναλυτικές λεπτομέρειες του CVE στην επίσημη πύλη Ειδοποιήσεων ασφαλείας της Oracle.
