Oracle ha publicado actualizaciones de seguridad para abordar fallas de seguridad críticas que afectan a Identity Manager y Web Services Manager. Esta falla podría explotarse para llevar a la ejecución remota de código.
Esta vulnerabilidad se rastrea como CVE-2026-21992 y tiene una puntuación CVSS de 9,8 de un máximo de 10,0.
«Esta vulnerabilidad puede explotarse de forma remota sin autenticación», dijo Oracle en el aviso. «Esta vulnerabilidad podría permitir la ejecución remota de código si se explota».
CVE-2026-21992 afecta a las siguientes versiones:
Oracle Identity Manager versiones 12.2.1.4.0 y 14.1.2.1.0 Oracle Web Services Manager versiones 12.2.1.4.0 y 14.1.2.1.0
Según la descripción de la falla en la Base de datos nacional de vulnerabilidades (NVD) del NIST, la falla es «fácilmente explotable» y podría permitir que un atacante no autenticado obtenga acceso a la red a través de HTTP y comprometa Oracle Identity Manager y Oracle Web Services Manager. Esto puede resultar en una toma exitosa de una instancia susceptible.
Oracle no ha indicado que esta vulnerabilidad esté siendo explotada en la naturaleza. Sin embargo, el gigante tecnológico insta a los clientes a aplicar actualizaciones sin demora para una protección óptima.
En noviembre de 2025, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó CVE-2025-61757 (puntuación CVSS: 9,8), una falla de ejecución remota de código previamente autenticada que afecta a Oracle Identity Manager, a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
Source link
