Oracle hat an einem Freitag außerplanmäßige Updates veröffentlicht, um eine kritische Schwachstelle in Identity Manager und Web Services Manager zu beheben. Beide Produkte sind Teil der Fusion-Middleware-Suite. Oracle Identity Manager dient der unternehmensweiten Identitätsverwaltung und automatisiert das Anlegen und Entziehen von Benutzerkonten sowie die Verwaltung von Zugriffsrechten. Der Web Services Manager bildet ein richtliniengesteuertes Framework zum Schutz von Webdiensten.
Die Lücke wird unter CVE-2026-21992 geführt und kann laut Oracle von einem nicht authentifizierten Angreifer zur Codeausführung aus der Ferne ausgenutzt werden. Sie erreicht einen CVSS-Wert von 9,8. Betroffen sind die Komponente REST WebServices des Identity Manager sowie die Komponente Web Services Security des Web Services Manager.
In der National Vulnerability Database heißt es zu CVE-2026-21992, die leicht ausnutzbare Schwachstelle erlaube einem nicht authentifizierten Angreifer mit Netzwerkzugriff über HTTP, Oracle Identity Manager und Oracle Web Services Manager zu kompromittieren. Erfolgreiche Angriffe könnten zur vollständigen Übernahme beider Produkte führen.
Oracles Integrated Cyber Center hat eine Sicherheitswarnung herausgegeben, um Organisationen auf die Patches hinzuweisen. Ob die Schwachstelle bereits in freier Wildbahn ausgenutzt wurde, hat der Hersteller nicht eindeutig erklärt. SecurityWeek hat bei Oracle nachgefragt, ob die Lücke für Angriffe missbraucht wurde.
Es wäre nicht das erste Mal, dass Oracle einen Patch für eine Zero-Day-Lücke veröffentlicht, ohne Kunden ausdrücklich auf eine Ausnutzung hinzuweisen. Im November 2025 informierte das Unternehmen seine Kunden über eine weitere kritische Schwachstelle im Identity Manager, die ebenfalls eine Codeausführung vor der Authentifizierung ermöglichte. Oracle erwähnte damals keine Ausnutzung, doch andere bestätigten später, dass die Lücke als Zero-Day ausgenutzt worden war.
Kürzlich wurden zudem Schwachstellen in Oracles E-Business Suite (EBS) in einer groß angelegten Datendiebstahl-Kampagne ausgenutzt, von der mehr als 100 Organisationen betroffen waren. Bei den Angriffen kamen Zero-Days zum Einsatz, doch Oracle hat nicht eindeutig benannt, welche Lücken die Angreifer nutzten.
