【漏洞通告】Oracle Identity Manager 远程代码执行漏洞(CVE-2026-21992)
发布时间 2026-04-08一、漏洞概述
漏洞名称 | Oracle Identity Manager 远程代码执行漏洞 | ||
CVE ID | CVE-2026-21992 | ||
漏洞类型 | RCE | 发现时间 | 2026-4-8 |
漏洞评分 | 9.8 | 漏洞等级 | 严重 |
攻击向量 | 网络 | 所需权限 | 无 |
利用难度 | 低 | 用户交互 | 不需要 |
PoC/EXP | 已公开 | 在野利用 | 未发现 |
Oracle Identity Manager 是Oracle Fusion Middleware体系中的身份与访问管理组件,主要用于企业用户身份生命周期管理、权限分配与合规控制。Oracle Web Services Manager则用于Web服务安全管理与策略控制,支持服务认证、授权、审计与加密等功能,广泛应用于企业级SOA和微服务架构环境中。
2026年4月8日,启明星辰安全应急响应中心(VSRC)监测到Oracle Identity Manager远程代码执行漏洞。该漏洞存在于Oracle Identity Manager和Oracle Web Services Manager中,由于系统在远程接口处理过程中缺乏有效的身份认证与输入校验机制,导致未授权攻击者可直接通过网络构造恶意请求触发漏洞。攻击者无需登录即可利用该漏洞执行任意代码,获取系统控制权限,进一步实施横向渗透、数据窃取或服务破坏等攻击行为。该漏洞具有利用门槛低、影响范围广的特点,可能导致企业关键业务系统失控,并存在违反数据安全及合规要求(如数据保护与访问控制要求)的风险。
二、影响范围
三、安全措施
3.1 升级版本
下载链接:https://www.oracle.com/security-alerts/alert-cve-2026-21992.html/
3.2 临时措施
暂无。
京公网安备11010802024551号