Krytyczna podatność (CVSS 9.8) w produktach Oracle Identity Manager oraz Oracle Web Services Manager pozwala nieuwierzytelnionemu atakującemu na całkowite przejęcie kontroli nad tymi systemami przez sieć via HTTP. Ze względu na brak wymagań co do uprawnień i interakcji użytkownika, podatność jest wyjątkowo łatwa do wykorzystania.
▸ Pokaż oryginał (EN)
Vulnerability in the Oracle Identity Manager product of Oracle Fusion Middleware (component: REST WebServices) and Oracle Web Services Manager product of Oracle Fusion Middleware (component: Web Services Security). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.1.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Identity Manager and Oracle Web Services Manager. Successful attacks of this vulnerability can result in takeover of Oracle Identity Manager and Oracle Web Services Manager. Note: Oracle Web Services Manager is installed with an Oracle Fusion Middleware Infrastructure. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Podatność sklasyfikowana jako CWE-306 (Missing Authentication for Critical Function) dotyczy komponentów REST WebServices w Oracle Identity Manager oraz Web Services Security w Oracle Web Services Manager. Atakujący z dostępem sieciowym do podatnego systemu może wysyłać żądania HTTP do krytycznych funkcji bez konieczności uwierzytelnienia. Mechanizm ochronny w postaci weryfikacji tożsamości jest nieobecny lub możliwy do obejścia, co umożliwia wykonanie nieautoryzowanych operacji na poziomie systemu.
Pomyślne wykorzystanie podatności prowadzi do całkowitego przejęcia Oracle Identity Manager oraz Oracle Web Services Manager, co oznacza utratę poufności, integralności i dostępności danych oraz usług zarządzanych przez te systemy.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://www.oracle.com/security-alerts/alert-cve-2026-21992.html. Do czasu wdrożenia poprawek zaleca się ograniczenie dostępu sieciowego do komponentów REST WebServices i Web Services Security wyłącznie do zaufanych hostów oraz sieci wewnętrznych przy użyciu firewall lub list ACL.
Oracle Identity Manager (komponent: REST WebServices) oraz Oracle Web Services Manager (komponent: Web Services Security) w wersjach 12.2.1.4.0 i 14.1.2.1.0, wchodzących w skład Oracle Fusion Middleware. Oracle Web Services Manager jest instalowany razem z Oracle Fusion Middleware Infrastructure.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HOracle Identity Manager
APPOracle12.2.1.4.014.1.2.1.0Oracle Web Services Manager
APPOracle12.2.1.4.014.1.2.1.0
Powiązane podatności
Pominięcie uwierzytelnienia w Oracle Identity Manager REST WebServices
Vulnerability in the Identity Manager product of Oracle Fusion Middleware (component: Core). Supported versio...
Vulnerability in the Identity Manager product of Oracle Fusion Middleware (component: OIM Legacy UI). Support...
Vulnerability in the Oracle WebLogic Server component of Oracle Fusion Middleware (subcomponent: Web Services)...
A deserialization flaw was discovered in the jackson-databind in versions before 2.8.10 and 2.9.1, which could...