Компанія Oracle випустила позапланове оновлення безпеки для критичної вразливості CVE-2026-21992, яка дозволяє несанкціоноване виконання коду на відстані в продуктах Identity Manager і Web Services Manager. Вразливість має оцінку CVSS 9.8 з 10.0 і впливає на версії Oracle Identity Manager 12.2.1.4.0 та 14.1.2.1.0, а також Oracle Web Services Manager 12.2.1.4.0 та 14.1.2.1.0. Згідно з описом у базі NIST NVD, вразливість «легко експлуатується» і дозволяє неавтентифікованому зловмиснику з мережевим доступом через HTTP повністю захопити вразливі інстанси. Oracle зазначила: «Ця вразливість може бути використана дистанційно без автентифікації. У разі успішної експлуатації вона може призвести до віддаленого виконання коду». Продукти використовуються для управління ідентифікацією та доступом у підприємствах, а також для захисту і управління веб-сервісами. Компанія настійно рекомендує клієнтам негайно застосувати оновлення. Патчі доступні тільки для версій під Premier або Extended Support. Oracle не повідомила про активну експлуатацію цієї вразливості.

Раніше, у листопаді 2025 року, CISA додала подібну вразливість CVE-2025-61757 (CVSS 9.8) в Oracle Identity Manager до каталогу відомих експлуатованих вразливостей через докази реальних атак. Компанія наголосила, що клієнти повинні залишатися на підтримуваних версіях і застосовувати всі критичні оновлення без затримок. Вразливість не вимагає взаємодії з користувачем і працює через мережу HTTP, що робить її особливо небезпечною для відкритих серверів.