Oracle objavio hitnu zakrpu za kritičnu Identity Manager RCE ranjivost
Oracle je van redovnog ciklusa objavio bezbednosnu zakrpu za kritičnu ranjivost CVE-2026-21992 koja pogađa Oracle Identity Manager i Oracle Web Services Manager. Prema Oracle advisori-ju, propust omogućava udaljeno izvršavanje koda bez autentifikacije, preko HTTP-a, bez interakcije korisnika, uz nisku složenost napada. Ranjivost ima ocenu CVSS 9.8 i pogađa Oracle Identity Manager verzije 12.2.1.4.0 i 14.1.2.1.0, kao i Oracle Web Services Manager verzije 12.2.1.4.0 i 14.1.2.1.0. Oracle snažno preporučuje hitnu primenu zakrpe ili dostupnih mitigacija. Kompanija nije saopštila da li je propust već iskorišćen u napadima, a za BleepingComputer je odbila da komentariše status eksploatacije.
Ovo je ozbiljna vest zato što se radi o neautentifikovanom RCE propustu u sistemima koji upravljaju identitetima i bezbednosnim kontrolama servisa. Kada proizvođač objavi vanrednu zakrpu za ovakav tip slabosti, to obično znači da je rizik praktične eksploatacije dovoljno visok da ne može da čeka redovni patch ciklus.
- Odmah proveriti da li organizacija koristi Oracle Identity Manager ili Oracle Web Services Manager u pogođenim verzijama
- Hitno primeniti Oracle Security Alert zakrpe ili preporučene mitigacije na podržanim sistemima
- Ograničiti mrežnu izloženost pogođenih servisa, posebno ako su dostupni preko HTTP-a ili iz šire mreže
- Pregledati logove i znakove neuobičajenog udaljenog izvršavanja koda na identitetskim i web service sistemima
- Posebno proveriti starije i nepodržane instance, jer Oracle navodi da vanredne zakrpe pokrivaju samo verzije pod Premier ili Extended Support