Oracle retter kritisk sårbarhed i Identity Manager

Eskil Sørensen

03.24.2026 09:25

Uoprettet fejl muliggør uautentificeret fjernkørsel af kode i flere understøttede versioner

Oracle har offentliggjort sikkerhedsopdateringer til en kritisk sårbarhed i Oracle Identity Manager og Oracle Web Services Manager. Fejlen kan udnyttes til fjernkørsel af kode uden krav om autentifikation.

Det skriver The Hacker News.

Sårbarheden har id’et EUVD-2026-13486 / CVE‑2026‑21992 og CVSS-score på 9,8. Ifølge Oracle kan en angriber med netværksadgang via HTTP udnytte problemet direkte uden gyldige brugeroplysninger. Det giver mulighed for kompromittering af en sårbar Identity Manager‑instans og efterfølgende fuld kontrol over systemet.

NIST beskriver sårbarheden som let at udnytte, og Oracle klassificerer den som remotely exploitable without authentication.

Sårbarheden påvirker følgende versioner:

Oracle Identity Manager version 12.2.1.4.0 og 14.1.2.1.0
Oracle Web Services Manager version 12.2.1.4.0 og 14.1.2.1.0

Oracle oplyser ikke om aktiv udnyttelse på nuværende tidspunkt.

The Hacker News skriver, at sårbarheder i Oracle Identity Manager har de senere år været attraktive for angribere. I november 2025 tilføjede den amerikanske myndighed CISA en tilsvarende pre‑auth RCE‑sårbarhed (CVE‑2025‑61757, CVSS 9.8) til sin Known Exploited Vulnerabilities‑liste på baggrund af aktiv udnyttelse.

Det anbefales, at Oracles opdateringer anvendes snarest muligt, ligesom det anbefales at gennemføre en vurdering af eksponering, IoC’er og evt, behov for yderligere afgrænsende foranstaltninger.

Læs mere

https://thehackernews.com/2026/03/oracle-patches-critical-cve-2026-21992.html

Sårbarhed