La vulnerabilidad permite ejecución remota de código sin autenticación sobre HTTP. Afecta Identity Manager y Web Services Manager en versiones 12.2.1.4.0 y 14.1.2.1.0.
Oracle publicó el 19 de marzo un Security Alert fuera de su ciclo trimestral habitual para corregir una vulnerabilidad crítica de ejecución remota de código en Oracle Identity Manager y Oracle Web Services Manager. La falla, identificada como CVE-2026-21992, tiene un CVSS v3.1 de 9.8 y puede ser explotada de forma remota sin requerir autenticación ni interacción del usuario.
Oracle recomienda aplicar las actualizaciones "tan pronto como sea posible", una señal de la gravedad que representa para organizaciones que mantienen estas plataformas expuestas a redes corporativas o internet.
Según el advisory oficial de Oracle, la vulnerabilidad afecta específicamente las versiones 12.2.1.4.0 y 14.1.2.1.0 de ambos productos. En Oracle Identity Manager, el componente vulnerable es REST WebServices, mientras que en Oracle Web Services Manager afecta el componente Web Services Security.
El vector de ataque es HTTP, lo que significa que cualquier atacante con acceso de red al servicio puede enviar una petición maliciosa y obtener control total del sistema comprometido. El NIST National Vulnerability Database clasifica la falla como "fácilmente explotable", con impacto alto en confidencialidad, integridad y disponibilidad.
La decisión de Oracle de emitir este parche como Security Alert fuera del ciclo regular de Critical Patch Updates programado para abril, marca una excepción significativa. Oracle reserva estos avisos urgentes para vulnerabilidades que considera demasiado críticas para esperar al siguiente ciclo trimestral.
Desde 2010, la empresa ha emitido aproximadamente 31 Security Alerts, un promedio de apenas dos por año. Este es apenas el segundo Security Alert dirigido específicamente a Oracle Identity Manager; el anterior, CVE-2017-10151, fue una falla de cuenta por defecto con CVSS 10.0 que permitía la toma de control completa del sistema.
El contexto agrava la urgencia. En noviembre de 2025, CISA añadió CVE-2025-61757 a su catálogo de vulnerabilidades explotadas conocidamente (KEV). Esa falla, también en el componente REST WebServices de Oracle Identity Manager con CVSS 9.8, fue explotada activamente antes de recibir parche.
Investigadores de Searchlight Cyber describieron esa vulnerabilidad como "algo trivial y fácilmente explotable por actores de amenazas". Aunque Oracle no ha confirmado si CVE-2026-21992 está siendo explotada actualmente ni su relación con la falla anterior, la coincidencia de producto, componente y versiones sugiere un patrón que los administradores deben tomar con seriedad.
Las organizaciones que operan Oracle Fusion Middleware en América Latina deben verificar de inmediato si despliegan las versiones afectadas. El primer paso es consultar el Patch Availability Document para Fusion Middleware a través del portal de soporte de Oracle, donde se encuentran las instrucciones de instalación específicas para cada entorno. Los parches solo están disponibles para versiones bajo soporte Premier o Extended Support, quienes ejecuten versiones anteriores deben planificar una migración urgente. Hasta que el parche se aplique, se recomienda restringir el acceso de red a los endpoints REST WebServices y Web Services Security mediante reglas de firewall, o aislar los servidores afectados de segmentos de red no confiables.
FUENTE ORIGINAL
Oracle Security Alert↗CURADO POR
Ricardo Burgos