Oracle dicht ernstig lek in Oracle Identity Manager en Oracle Web Services Manager
Oracle waarschuwt voor een ernstig lek in Oracle Identity Manager en Oracle Web Services Manager. Het gaat om CVE-2026-21992, die aanvallers de mogelijkheid geeft op afstand code uit te voeren. De ernst van het lek is ingeschaald op 9,2 op een schaal van tien.
In een security advisory waarschuwt Oracle voor het ernst van het lek. Het lek treft versie 12.2.1.4.0 en 14.1.2.1.0 van zowel Oracle Identity Manager als Oracle Web Services Manager. Het is onbekend of het lek al actief wordt uitgebuit door aanvallers. Oracle meldt dat het uitbuiten van het lek niet complex is, op afstand mogelijk is en geen authenticatie of interactie van gebruikers vereist.
Een patch is beschikbaar, maar alleen via klanten die gebruikmaken van Premier Support of Extended Support via Oracle's Lifetime Support Policy. Oudere producten worden niet getest, maar Oracle meldt wel dat eerdere versies vermoedelijk eveneens kwetsbaar zijn. Klanten worden opgeroepen te upgraden naar ondersteunde versies van de software.
Meer over Security
Over Wouter Hoeffnagel
