Oracle rendkívüli, cikluson kívüli frissítés
Az Oracle rendkívüli, a szokásos patch cikluson kívüli frissítést adott ki az Oracle Identity Manager és a Web Services Manager rendszerekhez egy kritikus, codesmuggling sérülékenység miatt. A CVE-2026-21992 azonosítójú hiba CVSS 9.8-as súlyosságú, és lehetővé teszi, hogy támadók hitelesítés nélkül, távolról hajtsanak végre kódot a sérülékeny rendszereken.
A sérülékenység az Oracle Fusion Middleware komponenseit érinti, az Identity Manager esetében egy REST API végpont, míg a Web Services Managerben a webszolgáltatás-biztonsági modul hibás. A támadás egyszerű HTTP-hozzáféréssel kivitelezhető, ami különösen veszélyessé teszi, mivel nincs szükség előzetes jogosultságra.
Sikeres kihasználás esetén a támadó teljes rendszerkompromittálást érhet el, beleértve a hitelesítési folyamatok és identitáskezelési funkciók manipulálását. Ez kiemelten kritikus, mivel az Identity Manager tipikusan központi szerepet tölt be vállalati jogosultságkezelésben.
Az Oracle hangsúlyozza, hogy az ilyen rendkívüli frissítések általában aktív vagy könnyen kihasználható fenyegetésekre utalnak, ezért a javítás azonnali telepítése erősen ajánlott. Bár a cikk szerint még nincs bizonyíték aktív kihasználásra, a támadási potenciál miatt a kockázat magas.
