Oracle修复漏洞CVE-2026-21992 防范身份管理器未授权远程执行

Oracle近日发布安全更新，修复了影响身份管理器和Web服务管理器的关键安全漏洞，该漏洞可能被利用来实现远程代码执行。

这个被标记为CVE-2026-21992的漏洞，CVSS评分高达9.8分（满分10分）。

Oracle在安全公告中表示："此漏洞可通过网络远程利用，无需身份验证。如果成功利用，该漏洞可能导致远程代码执行。"

CVE-2026-21992影响以下版本：

Oracle身份管理器版本12.2.1.4.0和14.1.2.1.0

Oracle Web服务管理器版本12.2.1.4.0和14.1.2.1.0

根据美国国家标准与技术研究院（NIST）国家漏洞数据库（NVD）中对该漏洞的描述，它"易于利用"，允许未经认证的攻击者通过HTTP网络访问来攻陷Oracle身份管理器和Oracle Web服务管理器。这进而可能导致成功接管易受攻击的实例。

Oracle并未提及该漏洞已在野外被利用的情况。不过，这家科技巨头敦促客户立即应用更新以获得最佳保护。

2025年11月，美国网络安全和基础设施安全局（CISA）将CVE-2025-61757（CVSS评分：9.8）添加到已知被利用漏洞（KEV）目录中，这是一个影响Oracle身份管理器的预认证远程代码执行漏洞，CISA引用了活跃利用的证据。

Q&A

Q1：CVE-2026-21992漏洞的危险程度如何？

A：CVE-2026-21992是一个极其危险的漏洞，CVSS评分高达9.8分（满分10分）。该漏洞允许攻击者无需身份验证即可远程利用，一旦成功可能导致远程代码执行，甚至完全接管受影响的系统。

Q2：哪些Oracle产品会受到CVE-2026-21992漏洞影响？

A：此漏洞影响Oracle身份管理器版本12.2.1.4.0和14.1.2.1.0，以及Oracle Web服务管理器版本12.2.1.4.0和14.1.2.1.0。这些都是企业级身份管理和Web服务管理的关键组件。

Q3：企业应该如何应对这个漏洞？

A：Oracle强烈建议客户立即应用安全更新以获得最佳保护。虽然Oracle未提及该漏洞已在实际环境中被利用，但考虑到其高危险性和易利用特性，企业应当优先处理此次更新。