Oracle stuft die Schwachstelle als geringkomplex ein: Sie ist aus der Ferne über HTTP ausnutzbar und erfordert weder Authentifizierung noch eine Interaktion durch Nutzer. Bei erfolgreicher Ausnutzung kann ein Angreifer beliebigen Code aus der Ferne ausführen. Diese Kombination erhöht nach Angaben des Herstellers das Risiko für Server, die aus dem Internet erreichbar sind.

In der Sicherheitsmeldung heißt es, die Lücke sei “ohne Authentifizierung aus der Ferne ausnutzbar” und könne bei erfolgreicher Ausnutzung zu Remote-Code-Ausführung führen. Oracle empfiehlt “dringend”, die bereitgestellten Updates oder Gegenmaßnahmen so schnell wie möglich anzuwenden, und rät grundsätzlich dazu, auf aktiv unterstützten Versionen zu bleiben und alle Sicherheitsmeldungen sowie Critical-Patch-Update-Patches ohne Verzögerung einzuspielen.

Betroffen sind Oracle Identity Manager in den Versionen 12.2.1.4.0 und 14.1.2.1.0 sowie Oracle Web Services Manager in denselben Versionsständen. Der CVSS-v3.1-Wert von 9.8 weist die Schwachstelle als kritisch aus.

Die Korrektur wurde über das Security-Alert-Programm von Oracle ausgeliefert, das außerplanmäßige Fixes oder Gegenmaßnahmen für kritische oder aktiv ausgenutzte Schwachstellen bereitstellt. Oracle weist allerdings darauf hin, dass über diese Programme verteilte Patches nur für Versionen unter Premier- oder Extended-Support angeboten werden – ältere, nicht mehr unterstützte Versionen können verwundbar bleiben.

Ob die Schwachstelle bereits ausgenutzt wurde, hat Oracle nicht mitgeteilt. Auf eine entsprechende Anfrage von BleepingComputer zum Status einer möglichen Ausnutzung wollte sich das Unternehmen nicht äußern. In einem separaten Blogbeitrag verwies Oracle erneut auf den Schweregrad von CVE-2026-21992 und forderte Kunden auf, die Sicherheitsmeldung für vollständige Details und Patch-Informationen zu prüfen.