Oracle brengt noodpatch uit voor ernstig lek

In dit artikel:

Oracle heeft een out-of-band securityupdate uitgegeven voor een kritieke kwetsbaarheid (CVE-2026-21992) in Oracle Identity Manager en Oracle Web Services Manager. De fout maakt ongeauthenticeerde remote code execution mogelijk via netwerktoegang (misbruikbaar over HTTP) en krijgt een CVSS-score van 9,8 — daarmee vormt het een direct en ernstig risico voor getroffen omgevingen.

De kwetsbaarheid zit in versies 12.2.1.4.0 en 14.1.2.1.0, onderdelen van de Fusion Middleware-stack die veel gebruikt worden voor identity management en het beveiligen van webservices. Omdat misbruik geen geldige inloggegevens of gebruikersinteractie vereist en via extern bereikbare webcomponenten kan plaatsvinden, lopen systemen die vanaf het internet toegankelijk zijn extra gevaar.

Oracle heeft niet bevestigd of er al actieve exploitatie plaatsvindt en weigert daarover commentaar; dat gebrek aan duidelijkheid vergroot de urgentie om de patch meteen te installeren. De uitgegeven fixes gelden alleen voor releases die nog onder Premier of Extended Support vallen; oudere, niet-ondersteunde versies worden niet gepatcht en moeten zo snel mogelijk worden geüpgraded naar een ondersteunde release.

Organisaties wordt met klem geadviseerd de aangeboden updates direct toe te passen. Als tijdelijke of aanvullende maatregelen kunnen teams netwerktoegang tot de getroffen services beperken (firewallregels, ip-whitelisting), webapplicatie-firewalls inzetten en log-/detectiemechanismen aanscherpen om kwaadaardige activiteit te signaleren totdat de patch volledig is uitgerold.