Oracle ha publicado actualizaciones de seguridad para abordar una falla de seguridad crítica que afecta a Identity Manager y Web Services Manager y que podría explotarse para lograr la ejecución remota de código.
La vulnerabilidad, rastreada como CVE-2026-21992tiene una puntuación CVSS de 9,8 sobre un máximo de 10,0.
«Esta vulnerabilidad se puede explotar de forma remota sin autenticación», dijo Oracle en un aviso. «Si se explota con éxito, esta vulnerabilidad puede provocar la ejecución remota de código».
CVE-2026-21992 afecta a las siguientes versiones:
- Oracle Identity Manager versiones 12.2.1.4.0 y 14.1.2.1.0
- Oracle Web Services Manager versiones 12.2.1.4.0 y 14.1.2.1.0
Según una descripción de la falla en la Base de datos nacional de vulnerabilidades (NVD) del NIST, es «fácilmente explotable» y podría permitir que un atacante no autenticado con acceso a la red a través de HTTP comprometa Oracle Identity Manager y Oracle Web Services Manager. Esto, a su vez, puede dar como resultado la adquisición exitosa de instancias susceptibles.
Oracle no menciona la vulnerabilidad que se está explotando en la naturaleza. Sin embargo, el gigante tecnológico ha instado a los clientes a aplicar la actualización sin demora para una protección óptima.
En noviembre de 2025, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó CVE-2025-61757 (puntuación CVSS: 9,8), una falla de ejecución remota de código previamente autenticada que afecta a Oracle Identity Manager, al catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.