ATLA WIRE

Oracle исправляет критическую уязвимость CVE-2026-21992, позволяющую выполнение удаленного кода без аутентификации в Identity Manager

22.03.2026
13636
Oracle исправляет критическую уязвимость CVE-2026-21992, позволяющую выполнение удаленного кода без аутентификации в Identity Manager
Oracle исправляет уязвимость CVE-2026-21992 (CVSS 9.8), позволяющую выполнение удаленного кода без аутентификации через HTTP, что угрожает полным компрометацией системы.

Oracle исправляет критическую уязвимость CVE-2026-21992, позволяющую выполнение удаленного кода без аутентификации в Identity Manager

Oracle только что выпустил критический патч для уязвимости, которая, по сути, является мечтой хакера. CVE-2026-21992 (CVSS 9.8) позволяет выполнение удаленного кода без аутентификации через HTTP — это означает, что злоумышленники могут захватить системы без каких-либо учетных данных для входа. Это именно тот тип уязвимости, который не дает спать командам безопасности.
Article image 1
Уязвимость затрагивает Oracle Identity Manager, ключевой компонент для управления идентификацией в предприятиях. С оценкой CVSS 9.8 (Критическая) это не просто незначительная ошибка — это полная компрометация системы, ожидающая своего часа. Злоумышленники могут эксплуатировать ее через HTTP, делая ее доступной из любой точки сети.
Oracle выпустил патчи в рамках своего Критического обновления патчей за март 2026 года. Если вы используете Oracle Identity Manager, вам необходимо применить это обновление немедленно. Компания не раскрыла, эксплуатируется ли эта уязвимость активно в дикой природе, но при таком уровне серьезности это лишь вопрос времени.
  • CVE-2026-21992: Критическая уязвимость (CVSS 9.8)
  • Затрагивает: Oracle Identity Manager
  • Воздействие: Выполнение удаленного кода без аутентификации
  • Вектор атаки: HTTP
  • Статус: Исправлено в Критическом обновлении патчей за март 2026 года
  • Риск: Полная компрометация системы без аутентификации
Именно поэтому управление патчами не может быть второстепенным. Oracle Identity Manager обрабатывает конфиденциальные данные идентификации в предприятиях — если он скомпрометирован, злоумышленники получают доступ к королевским сокровищам. Тот факт, что для этого не требуется аутентификация, делает это особенно опасным для организаций с открытыми интерфейсами управления.
Исследователи безопасности призывают всех пользователей Oracle Identity Manager уделить приоритетное внимание этому патчу. Учитывая критический характер и простоту эксплуатации, задержка обновлений может привести к катастрофическим нарушениям. Рекомендация Oracle включает подробные инструкции по применению исправления для затронутых версий.
#Oracle Identity Manager#RCE уязвимости#неаутентифицированный доступ#патчи безопасности#уязвимости CVE
Есть тема? Пишите ATLA WIRE в Telegram:t.me/atla_community
Banner | ATLA WIRE
ATLA WIRE