漏洞概述
Oracle在最新发布的安全警报中披露了编号为 CVE-2026-21992 的高危漏洞。该漏洞影响 Oracle Identity Manager(身份管理器) 和 Oracle Web Services Manager(Web服务管理器) 两款核心产品。
漏洞的CVSS v3.1基础评分高达 9.8分(严重) ,其特点如下:
攻击途径 :网络(Network)
-
攻击复杂度:低(Low)
-
所需权限:无(None)
-
用户交互:不需要(None)
-
影响范围:机密性、完整性、可用性均为“高”
这意味着攻击者无需任何合法账户或用户操作,通过网络即可发起攻击,一旦成功即可实现远程代码执行(Remote Code Execution),完全控制受影响系统。
受影响产品及版本
本次安全警报修复的版本如下, 仅列出版本均处于Premier Support或Extended Support支持期内:
| 产品 | 受影响版本 |
|---|---|
| Oracle Identity Manager | 12.2.1.4.0, 14.1.2.1.0 |
| Oracle Web Services Manager | 12.2.1.4.0, 14.1.2.1.0 |
特别注意 :虽然官方仅测试了上述支持期内的版本,但Oracle明确指出, 更早的未支持版本很可能也受此漏洞影响 。如果您正在运行上述产品的早期版本,强烈建议立即升级到受支持的版本并应用补丁。
官方修复建议
Oracle已为受影响的产品提供了安全补丁,并强烈建议客户“ 尽快应用更新或缓解措施”。
获取补丁的步骤:
-
访问Oracle提供的 补丁可用性文档(可通过官方警报页面中的链接访问)。
-
根据文档指引下载对应版本的补丁。
-
按照安装说明在生产环境中部署。
Oracle同时强调,所有Fusion Middleware产品的补丁均遵循其 软件错误修正支持政策(My Oracle Support Note KB65129),用户应保持产品处于活跃支持的版本,并持续跟进Critical Patch Update(关键补丁更新)和安全警报。
行动清单
如果您的环境中部署了上述Oracle产品,请立即采取以下措施:
-
确认版本:检查Oracle Identity Manager和Oracle Web Services Manager的当前运行版本。
-
评估风险:若版本属于12.2.1.4.0或14.1.2.1.0,或更早的未支持版本,则存在高风险。
-
获取补丁:通过官方渠道(My Oracle Support)下载本次安全警报对应的补丁。
-
安排修复:在变更窗口内优先安排补丁部署,若无法立即修补,应考虑部署网络访问控制等临时缓解措施。