IT-Sicherheit , , , , , ,

Oracle CVE-2026-21992: Kritische Lücke in Identity Manager

Oracle hat am 20. März 2026 einen außerplanmäßigen Sicherheitspatch für eine kritische Schwachstelle veröffentlicht. Die als CVE-2026-21992 katalogisierte Lücke betrifft Oracle Identity Manager und Oracle Web Services Manager – beide mit einem maximalen CVSS-Score von 9.8 bewertet.

Was ist passiert?

Normalerweise veröffentlicht Oracle Sicherheitsupdates quartalsweise im Rahmen der Critical Patch Updates (CPU). CVE-2026-21992 war jedoch so schwerwiegend, dass Oracle einen sogenannten Out-of-Band Security Alert ausgab – also einen Patch außerhalb des regulären Zyklus. Das Advisory wurde am 19. März 2026 erstmals veröffentlicht und am folgenden Tag aktualisiert.

Betroffene Produkte

  • Oracle Identity Manager (REST WebServices) – Versionen 12.2.1.4.0, 14.1.2.1.0
  • Oracle Web Services Manager (Web Services Security) – Versionen 12.2.1.4.0, 14.1.2.1.0

Hinweis: Oracle Web Services Manager wird mit Oracle Fusion Middleware Infrastructure installiert.

Technische Details

  • CVE-ID: CVE-2026-21992
  • CVSS 3.1 Score: 9.8 (Kritisch)
  • Schwachstellentyp: Authentication Bypass (CWE-306)
  • Angriffsvektor: Netzwerk (HTTP/HTTPS)
  • Authentifizierung: Nicht erforderlich
  • Auswirkung: Remote Code Execution möglich

Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer mit Netzwerkzugriff, die vollständige Kompromittierung der betroffenen Systeme zu erreichen.

Warum ist das besonders kritisch?

Oracle Identity Manager ist zentrale Komponente für Identity Governance und Zugriffsmanagement in Unternehmen. Eine Kompromittierung ermöglicht Angreifern die Übernahme von Benutzeridentitäten, Zugriff auf sensible Ressourcen und Eskalation innerhalb der IT-Infrastruktur.

Sofortmaßnahmen

  1. Patch verfügbar über: Oracle Support (Doc ID: KB878741)
  2. Priorität: Hoch – Out-of-Band-Patches werden nur bei besonderer Dringlichkeit veröffentlicht
  3. Support-Phase prüfen: Patches sind nur für Versionen verfügbar, die sich in Premier oder Extended Support befinden

Quellen und weiterführende Informationen

Hinweis zur Aktualität: Dieser Beitrag basiert auf dem Oracle Security Alert vom 20. März 2026.

Fazit

CVE-2026-21992 ist eine der schwerwiegendsten Oracle-Schwachstellen des Jahres. Die Kombination aus hohem CVSS-Score, einfacher Ausnutzbarkeit und kritischem Angriffsziel erfordert sofortiges Handeln. Unternehmen sollten den Patch ohne Verzögerung einspielen.

Schlagwort

Ähnliche Beiträge

Kommentar abschicken

Das haben Sie vielleicht verpasst