Oracle har publisert hasteoppdateringer for CVE-2026-21992, en kritisk sårbarhet (CVSS 9.8) som kan gi uautentisert fjernkjøring av kode i Identity Manager og Web Services Manager.
Kjerneproblemet er at en angriper kan nå sårbare instanser over HTTP uten innlogging og i verste fall ta full kontroll over tjenesten. Oracle beskriver feilen som fjernutnyttbar uten autentisering, noe som gjør patch-vinduet kort for virksomheter med internett-eksponerte miljøer.
Saken er ekstra alvorlig fordi Oracle Identity Manager ofte…
Saken er ekstra alvorlig fordi Oracle Identity Manager ofte er tett koblet til tilgangsstyring og privilegerte konti. Kompromittering her kan derfor gi bred lateral bevegelse i virksomheten, ikke bare påvirke én applikasjon.
Anbefalt respons nå er rask oppgradering, streng segmentering av IAM-komponenter og målrettet overvåking av mistenkelig aktivitet mot relevante HTTP-endepunkter.