Oracle stuft die Schwachstelle CVE-2026-21992 als kritisch ein. Mit einem CVSS-Wert von 9.8 von höchstens 10.0 zählt sie zu den schwerwiegendsten Kategorien, die das Bewertungssystem vorsieht. Betroffen sind die Produkte Oracle Identity Manager und Oracle Web Services Manager.
In seiner Sicherheitsmitteilung beschreibt Oracle die Lücke als aus der Ferne ausnutzbar, ohne dass eine Authentifizierung notwendig ist. Gelingt ein Angriff, kann er nach Darstellung des Herstellers zur Ausführung von Schadcode aus der Ferne führen.
Die National Vulnerability Database (NVD) des NIST ergänzt diese Einschätzung. Demnach ist die Schwachstelle leicht ausnutzbar: Ein nicht authentifizierter Angreifer mit Netzwerkzugang über HTTP könne sowohl Oracle Identity Manager als auch Oracle Web Services Manager kompromittieren. In der Folge sei die vollständige Übernahme anfälliger Instanzen möglich.
Hinweise auf eine aktive Ausnutzung der Lücke in freier Wildbahn nennt Oracle nicht. Dennoch ruft der Konzern seine Kunden dazu auf, das bereitgestellte Update unverzüglich einzuspielen, um den bestmöglichen Schutz zu gewährleisten.
Oracle Identity Manager stand bereits zuvor im Fokus von Angreifern. Die US-Cybersicherheitsbehörde CISA nahm in diesem Zusammenhang die Schwachstelle CVE-2025-61757 (CVSS-Wert 9.8) in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) auf. Dabei handelt es sich um eine Lücke zur Codeausführung aus der Ferne ohne vorherige Authentifizierung in Oracle Identity Manager, für die laut CISA Belege für eine aktive Ausnutzung vorlagen.
