Oracle a récemment publié une mise à jour de sécurité urgente pour corriger une vulnérabilité critique permettant l’exécution de code à distance, sans authentification, dans son Identity Manager et Web Services Manager, référencée sous le code CVE-2026-21992.
Le Oracle Identity Manager est essentiel pour la gestion des identités et des accès au sein des entreprises, tandis que le Web Services Manager assure la sécurité et le contrôle des services web. Selon un avis émis par la société, il est « fortement recommandé » aux clients d’appliquer ces correctifs dans les plus brefs délais.
Ce bulletin de sécurité précise que la vulnérabilité CVE-2026-21992 est exploitable à distance sans nécessiter d’authentification. Si exploitée avec succès, cette faille pourrait conduire à une exécution de code à distance. Le score de gravité selon le système de notation CVSS v3.1 est de 9.8, affectant les versions 12.2.1.4.0 et 14.1.2.1.0 de Identity Manager ainsi que celles du Web Services Manager.
Oracle a indiqué que la complexité d’exploitation de cette faille est faible, qu’elle est exploitable à distance via HTTP, et qu’elle ne nécessite pas d’interaction de l’utilisateur, ce qui augmente le risque sur les serveurs exposés.
Cette correction a été fournie dans le cadre du programme de Security Alert, conçu pour traiter les vulnérabilités critiques ou activement exploitées en dehors du calendrier habituel des mises à jour. Toutefois, Oracle précise que ces correctifs ne sont disponibles que pour les versions bénéficiant d’un support Premier ou Extended, tandis que les versions plus anciennes, non supportées, demeurent vulnérables.
Aucun mot n’a été donné sur une éventuelle exploitation de la vulnérabilité, et BleepingComputer a contacté Oracle pour obtenir des informations supplémentaires. Dans un autre article publié récemment, la société a de nouveau souligné la gravité de la vulnérabilité CVE-2026-21992 et incité ses clients à consulter l’alerte de sécurité pour des détails complets et des informations sur les correctifs.