文章总结： Oracle紧急修复严重远程代码执行漏洞CVE-2026-21992，CVSS评分9.8，影响OracleIdentityManager和OracleWebServicesManager多个版本。该漏洞未经认证即可远程利用，攻击复杂度低，可导致系统完全沦陷。Oracle强烈建议立即应用补丁，优先修复面向互联网的系统，并审查相关端点暴露情况。 综合评分： 76 文章分类： 漏洞预警,应急响应,应用安全

Oracle 紧急修复 Identity Manager 和 Web Services Manager 中的严重RCE漏洞

Guru Baran Guru Baran

代码卫士

2026年3月23日 18:19 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Oracle公司紧急修复严重的远程代码执行漏洞CVE-2026-21992（CVSS 3.1评分9.8）。该漏洞影响两个广泛部署的Fusion Middleware组件：Oracle Identity Manager和Oracle Web Services Manager。

CVE-2026-21992是一个未经认证即可远程利用的漏洞，无需用户交互或特殊权限即可利用。该漏洞的攻击向量基于网络，复杂度低，意味着威胁行动者只需通过HTTP访问暴露的端点，就有可能触发远程代码执行。该漏洞在保密性、完整性和可用性三个影响维度均被评为“高”，表明成功利用该漏洞可使攻击者完全控制受影响的系统。

在Oracle Identity Manager中，该漏洞存在于REST Web Services组件中；而在Oracle Web Services Manager中，该漏洞位于Web Services Security模块内。Oracle 公司指出，Web Services Manager通常与Oracle Fusion Middleware Infrastructure一同安装，因此扩大了企业部署环境中的潜在攻击面。

该漏洞影响Oracle Identity Manager 12.2.1.4.0和14.1.2.1.0 版本，以及Oracle Web Services Manager 12.2.1.4.0和14.1.2.1.0版本。两个受影响版本均属于Fusion Middleware补丁轨道，补丁文档可通过该公司的安全告警公告页面及My Oracle Support（文档ID KB878741）获取。

鉴于该漏洞的CVSS评分高达9.8且无需认证，因此对于部署了面向互联网的Oracle Fusion Middleware的组织机构尤为危险。Oracle Identity Manager是一个广泛使用的身份治理平台，而Oracle Web Services Manager则负责Web服务的安全策略执行——两者都是大型企业和政府环境中的关键基础设施组件。利用其中任何一个漏洞都可能导致系统完全沦陷、凭据被盗，或在互联系统之间进行横向移动。

Oracle 公司强烈敦促所有客户立即应用可用补丁。该警报最初于2026年3月19日发布，并于2026年3月20日更新修订版，其中包含该公司的一条补充说明。对于运行受影响产品不受支持版本的组织机构，建议升级到受支持的版本，因为根据该公司的生命周期支持政策，补丁仅提供给处于“高级支持”或“扩展支持”阶段的版本。安全团队应优先修补任何可外部访问的实例，并在完成修复前审查REST Web Services和Web Services Security端点的HTTP/HTTPS暴露情况。客户可参考该公司官方安全警报门户网站上的完整风险矩阵和详细CVE信息。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

马自达表示 Oracle 遭入侵并未造成数据泄露或运营影响

Oracle 紧急修复 E-Business Suite 中的新 0day

Oracle Health数据泄露事件影响美国多家医院

Oracle 2025年1月补丁日多产品高危漏洞安全风险通告

原文链接

Oracle Issues Urgent Security Update for Critical RCE Flaw in Identity Manager and Web Services Manager

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Guru Baran Guru Baran《Oracle 紧急修复 Identity Manager 和 Web Services Manager 中的严重RCE漏洞》