Oracle推送緊急更新，修補Identity Manager重大漏洞

3月20日Oracle提出警告，身分驗證管理平臺Identity Manager與網路服務管理平臺Web Services Manager當中，存在CVSS評分達到9.8（滿分10分）的重大漏洞CVE-2026-21992，並指出攻擊者一旦成功利用，就能遠端執行任意程式碼（RCE），呼籲用戶應根據資安公告採取因應行動。

此漏洞影響上述應用系統的12.2.1.4.0和14.1.2.1.0版，起因是Identity Manager的REST WebServices元件，以及Web Services Manager的Web Services Security元件存在弱點，Oracle並未在公告裡說明細節。根據美國國家漏洞資料庫（NVD）登記的資料，該漏洞相當容易利用，未經身分驗證的攻擊者能透過HTTP連線，對存在漏洞的系統進行網路存取，成功利用漏洞後，將導致系統被挾持。

值得留意的是，雖然Oracle並未透露漏洞是否已遭利用，不過，該公司過去公布的Identity Manager資安漏洞，就傳出修補前被用於攻擊行動的跡象。資安研究機構SANS指出，去年10月修補的CVE-2025-61757，於8月底至9月上旬有人試圖利用。