Die Schwachstelle hat einen CVSS-Wert von 9,8 von 10 erhalten. Sie steckt in der HTTP-API-Oberfläche von Oracles Sicherheits-Stack für Identitäten und Webdienste. Laut der im Oracle-Advisory veröffentlichten Risikomatrix erfordert ein Angriff vergleichsweise wenig Komplexität.

CVE-2026-21992 ähnelt in vieler Hinsicht einer anderen, kürzlich offengelegten OIM-Schwachstelle, die ebenfalls einen CVSS-Wert von 9,8 erreichte: CVE-2025-61757, die erstmals im Oktober bekannt wurde. Beide betreffen die Komponente REST WebServices von OIM, betreffen dieselben Softwareversionen (12.2.1.4.0 und 14.1.2.1.0) und erlauben RCE. Aus diesen Gründen vermutet Satnam Narang, Senior Staff Research Engineer bei Tenable, dass die neue Lücke möglicherweise mit der älteren zusammenhängt. Belege dafür finden sich in Oracles Sicherheitshinweis jedoch nicht. Auf Anfrage von Dark Reading, ob ein Zusammenhang bestehe, lehnte Oracle eine Stellungnahme ab.

Die ältere Schwachstelle hatte einen bedenklichen Verlauf genommen. Forscher von Searchlight Cyber bezeichneten den Oktober-Fehler im Vergleich zu anderen OIM-Lücken als “recht trivial und leicht ausnutzbar”. Tatsächlich wurde CVE-2025-61757 im Folgemonat in den Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) der US-Behörde CISA aufgenommen. Damit war sie erst die sechste Fusion-Middleware-Schwachstelle überhaupt, die es auf diese Liste schaffte, und die erste seit drei Jahren.

“Wenn diese hier einen ähnlichen Weg nimmt, werden Angreifer sie wahrscheinlich ziemlich leicht ausnutzen können”, sagt Narang und geht davon aus, dass möglicherweise bereits jetzt Angriffe vorbereitet werden. “Wenn dies ein exponierter Endpunkt ist, auf den Angreifer zugreifen können, und er nicht allzu stark vom letzten abweicht, besteht die Möglichkeit, dass wir einige Angriffe sehen werden. Ich erwarte keine flächendeckende Ausnutzung, aber Ausnutzung bleibt nun einmal Ausnutzung.”

Nach Daten der Marktanalysedienste Enlyft und Landbase ist OIM bei mehr als 1.000 Organisationen im Einsatz, überwiegend in den USA und größtenteils in der IT- und Technologiebranche. Auffällig ist die Verbreitung bei großen multinationalen Konzernen wie Walmart, Huawei und ExxonMobil. Ein großer Teil der Kunden beschäftigt mehr als 10.000 Mitarbeiter und erzielt über eine Milliarde Dollar Jahresumsatz. Angesichts dieser Kundengröße könnte CVE-2026-21992 für Angreifer interessant sein, die es auf besonders lohnende Ziele abgesehen haben.

Größe und Komplexität von Organisationen können das Einspielen von Patches zusätzlich erschweren. “Das ist je nach Größe der Organisation und Umfang der installierten Software etwas aufwendiger”, so Narang. “Jede Implementierung sieht für jede Organisation anders aus.” Das sei auch der Grund, warum die Zeitspanne zwischen Verfügbarkeit eines Patches und dessen Einspielen stark schwanke — mal Tage, mal Monate, je nach Patch-Management-Richtlinien. “Deshalb sehen wir auch immer wieder, dass ältere Schwachstellen noch Monate und sogar Jahre später ausgenutzt werden.”