Cve-2026-21992

A Oracle divulgou atualizações de segurança para corrigir uma falha crítica que afeta o Oracle Identity Manager e o Oracle Web Services Manager, permitindo a execução remota de código. A vulnerabilidade, identificada como CVE-2026-21992, possui uma pontuação CVSS de 9.8, indicando um risco elevado. Segundo a Oracle, a falha é explorável remotamente e sem necessidade de autenticação, o que a torna particularmente perigosa. As versões afetadas incluem o Oracle Identity Manager nas versões 12.2.1.4.0 e 14.1.2.1.0, e o Oracle Web Services Manager nas mesmas versões. A descrição da falha na base de dados de vulnerabilidades do NIST destaca que um atacante não autenticado com acesso à rede via HTTP pode comprometer os sistemas afetados. Embora a Oracle não tenha relatado exploração ativa da vulnerabilidade, recomenda a aplicação imediata das atualizações para garantir a proteção. Este alerta é especialmente relevante, considerando que, em novembro de 2025, uma falha semelhante no Oracle Identity Manager foi adicionada ao catálogo de Vulnerabilidades Conhecidas e Exploradas da CISA, indicando um histórico de exploração ativa. Portanto, a atualização é crucial para a segurança das organizações que utilizam essas tecnologias.

A Oracle lançou uma atualização de segurança fora do cronograma para corrigir uma vulnerabilidade crítica de execução remota de código não autenticada, identificada como CVE-2026-21992, que afeta o Oracle Identity Manager e o Oracle Web Services Manager. Essa falha, com uma pontuação de severidade CVSS v3.1 de 9.8, permite que atacantes explorem o sistema remotamente, sem necessidade de autenticação ou interação do usuário, aumentando o risco em servidores expostos. A Oracle recomenda fortemente que os clientes apliquem os patches imediatamente, especialmente aqueles que utilizam as versões 12.2.1.4.0 e 14.1.2.1.0 do Oracle Identity Manager e do Oracle Web Services Manager. A empresa não confirmou se a vulnerabilidade já foi explorada, mas enfatizou a importância de manter as versões ativas e aplicar todas as atualizações de segurança sem demora. A falha é considerada de baixa complexidade e pode ser explorada via HTTP, o que a torna ainda mais preocupante para as organizações que utilizam essas tecnologias. A Oracle também alertou os clientes para revisar o alerta de segurança para obter detalhes completos sobre os patches disponíveis.