A critical vulnerability (CVE-2026-21992, CVSS 9.8) in Oracle Identity Manager and Oracle Web Services Manager allows for unauthenticated remote code execution. Affected systems include Oracle Identity Manager versions 12.2.1.4.0 and 14.1.2.1.0, and Oracle Web Services Manager versions 12.2.1.4.0 and 14.1.2.1.0, all when missing the latest security patch. Administrators must apply the specific patches referenced in Oracle Security Alert alert-cve-2026-21992.
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 20 mars 2026 N° CERTFR-2026-AVI-0332 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Vulnérabilité dans Oracle Identity Manager et Web Services Manager Gestion du document Référence CERTFR-2026-AVI-0332 Titre Vulnérabilité dans Oracle Identity Manager et Web Services Manager Date de la première version 20 mars 2026 Date de la dernière version 20 mars 2026 Source(s) Bulletin de sécurité Oracle alert-cve-2026-21992 du 19 mars 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risque Exécution de code arbitraire à distance Systèmes affectés Identity Manager version 12.2.1.4.0 sans le dernier correctif de sécurité Identity Manager version 14.1.2.1.0 sans le dernier correctif de sécurité Web Services Manager version 12.2.1.4.0 sans le dernier correctif de sécurité Web Services Manager version 14.1.2.1.0 sans le dernier correctif de sécurité Résumé Une vulnérabilité a été découverte dans Oracle Identity Manager et Web Services Manager. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité Oracle alert-cve-2026-21992 du 19 mars 2026 https://www.oracle.com/security-alerts/alert-cve-2026-21992.html Référence CVE CVE-2026-21992 https://www.cve.org/CVERecord?id=CVE-2026-21992 Gestion détaillée du document le 20 mars 2026 Version initiale