Oracle hat ein außerplanmäßiges Sicherheitsupdate für die kritische Remote Code Execution-Lücke CVE-2026-21992 freigegeben. Betroffen sind die Versionen 12.2.1.4.0 und 14.1.2.1.0 des Oracle Identity Manager sowie die gleichen Versionen des Oracle Web Services Manager. Das Identity Manager-System ist in Unternehmen zentral für die Verwaltung von Benutzeridentitäten und Zugriffsrechten zuständig, der Web Services Manager sichert Web-Services ab.
Die Schwachstelle zeichnet sich durch ihre Gefährlichkeit aus: Sie ist unauthentifiziert ausnutzbar, benötigt keine Benutzerinteraktion und erfordert nur HTTP-Zugriff. Der CVSS-Score von 9,8 bewertet sie als praktisch maximal kritisch. Oracle betont in seinem Advisory, dass Kunden die Patches “dringendstens” einspielen sollten. Das Unternehmen warnt explizit, dass erfolgreiche Exploits zu vollständiger Fernsteuerung des Systems führen können.
Oracleverteilt den Fix über sein Security Alert-Programm, das speziell für kritische oder aktiv ausgenutzte Lücken schnelle Updates außerplanmäßig bereitstellt. Allerdings gibt es eine Einschränkung: Patches sind nur für Versionen mit aktuellem Premier- oder Extended-Support verfügbar. Nutzer älterer, nicht mehr unterstützter Versionen bleiben verwundbar.
Eine offene Frage bleibt: Wurde die Lücke bereits von Cyberkriminellen ausgenutzt? Oracle äußert sich dazu nicht. BleepingComputer berichtete, dass das Unternehmen die Anfrage nach dem Exploitations-Status ablehnte. Dies ist in Sicherheitskreisen ein wichtiger Indikator — wenn bereits Angriffe stattfinden, erhöht sich die Dringlichkeit erheblich.
Für deutsche Unternehmen, die Oracle Identity Manager einsetzen, ist schnelles Handeln geboten. Größere Organisationen sollten ihre Systeme sofort prüfen, betroffene Versionen identifizieren und Updates in ihrer Change-Management-Prozedur beschleunigen. Die Kombination aus fehlender Authentifizierung, niedrigem technischem Aufwand und maximaler Kritikalität macht diese Lücke zu einer Top-Priorität im Patch-Management.