Oracle 發布了一項帶外安全性更新，以修復 Identity Manager 和 Web Services Manager 中一個嚴重的未經身份驗證的遠端程式碼執行漏洞，該漏洞的追蹤編號為 CVE-2026-21992。Oracle Identity Manager 用於管理企業內的身分和存取權限，而 Oracle Web Services Manager 則為 Web 服務提供安全性和管理控制。

CVE-2026-21992 漏洞的 CVSS v3.1 嚴重性評分為 9.8，影響 Oracle Identity Manager 版本 12.2.1.4.0 和 14.1.2.1.0，以及 Oracle Web Services Manager 版本 12.2.1.4.0 和 14.1.2.1.0。

Oracle 昨天發佈公告，強烈建議客戶盡快套用這些修補程式。安全公告中寫道「此安全警報旨在解決 Oracle Identity Manager 和 Oracle Web Services Manager 中的漏洞 CVE-2026-21992。此漏洞無需身份驗證即可遠端利用。如果成功利用，此漏洞可能導致遠端程式碼執行。」

Oracle 強烈建議客戶盡快套用此安全警報中提供的更新或緩解措施， Oracle 始終建議客戶使用仍在積極支援的版本，並立即套用所有安全警報和關鍵修補程式更新中的安全性修補程式。

Oracle 表示，該漏洞複雜度低，可透過 HTTP 遠端利用，無需身份驗證或使用者交互，這增加了暴露伺服器上的漏洞被利用的風險。

該修復程序透過其安全警報計劃發布，該計劃旨在針對關鍵漏洞或已被積極利用的漏洞提供非計劃修復或緩解措施。然而，Oracle 表示，透過這些計畫發布的修補程式僅適用於進階支援或擴充支援版本，而較舊的非支援版本可能存在漏洞。

資料來源：https://www.bleepingcomputer.com/news/security/oracle-pushes-emergency-fix-for-critical-identity-manager-rce-flaw/