A Oracle lançou atualizações de segurança para corrigir uma falha crítica que afeta o Identity Manager e o Web Services Manager, permitindo a execução remota de código sem autenticação. A vulnerabilidade, identificada como CVE-2026-21992, possui uma pontuação CVSS de 9.8, em uma escala máxima de 10.0.
De acordo com a Oracle, essa falha pode ser explorada remotamente sem necessidade de autenticação, o que pode resultar na execução de código malicioso. As versões afetadas incluem o Oracle Identity Manager 12.2.1.4.0 e 14.1.2.1.0, além do Oracle Web Services Manager nas mesmas versões.
O Banco de Dados Nacional de Vulnerabilidades (NVD) descreve a falha como “facilmente explorável”, permitindo que um invasor não autenticado, com acesso à rede via HTTP, comprometa os sistemas afetados. Isso pode levar ao controle total das instâncias vulneráveis.
Embora não haja relatos de exploração ativa dessa vulnerabilidade, a Oracle recomenda que os usuários apliquem as atualizações imediatamente para garantir a segurança dos sistemas. Em novembro de 2025, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) já havia incluído uma falha similar no catálogo de vulnerabilidades conhecidas, destacando a importância da atualização.
Fonte:https://thehackernews.com/2026/03/oracle-patches-critical-cve-2026-21992.html
