A CVE-2026-21992 azonosítón nyomon követett kritikus besorolású sérülékenység távoli kódfuttatást tesz lehetővé az Oracle Identity Manager és a Web Services Manager termékekben.

Az Oracle Identity Manager egy vállalati identitáskezelő platform, amely automatizálja a felhasználói fiókok létrehozását és megszüntetését, valamint a jogosultságaik kezelését. Az Oracle Web Services Manager pedig egy olyan szabályzat-vezérelt keretrendszer, amely kezeli és védi a webszolgáltatásokat.

Az Oracle elmondása szerint a 9,8-as CVSS pontszámú sérülékenység az Identity Manager REST Webservices komponensét és a Web Services Manager Web Services Security összetevőjét érinti. A sebezhetőség leírása szerint egy viszonylag egyszerűen kihasználható biztonsági résről van szó, ami lehetővé teszi a támadók számára, hogy HTTP-n keresztül hozzáférjenek a hálózathoz és kompromittálják a sérülékenységben érintett rendszereket. A sebezhetőség publikálásával egyidőben az Oracle egy riasztást is közzétett ügyfeleinek, amelyben felhívja a szervezetek figyelmét a javítások mielőbbi telepítésére, viszont arra vonatkozóan, hogy rosszindulatú szereplők aktívan kihasználták volna a sérülékenységet, nem közöltek információkat.

Nem ez az első alkalom, hogy az Oracle nem közöl információkat egy sebezhetőség kihasználtságáról. 2025 novemberében az Identity Manager egy másik kritikus RCE hibájáról tájékoztatta ügyfeleit, azonban annak valós környezetben történő kihasználásáról csak mások számoltak be, nulladik napi hibaként. 2025 októberében pedig az Oracle E-Business Suite (EBS) sebezhetőségeit használták ki egy hatalmas adatlopási kampány során, amely több mint 100 szervezetet érintett.