【安全资讯】Oracle紧急修复身份管理器高危RCE漏洞

概要：

在网络安全威胁日益严峻的背景下，软件巨头Oracle近日发布了一项紧急安全更新，以修复其身份管理产品中的一个高危漏洞。该漏洞允许攻击者在无需身份验证的情况下远程执行代码，对依赖Oracle Identity Manager和Web Services Manager进行身份与访问管理的企业构成了严重威胁，凸显了核心基础设施组件安全性的极端重要性。

主要内容：

Oracle此次修复的漏洞编号为CVE-2026-21992，其CVSS v3.1严重性评分高达9.8分，属于危急级别。该漏洞存在于Oracle Identity Manager（用于企业管理身份和访问）和Oracle Web Services Manager（为Web服务提供安全和管理控制）的特定版本中。

该漏洞的技术风险极高，因为它无需身份验证，攻击复杂度低，且可通过HTTP协议远程利用。这意味着任何暴露在互联网上的、未打补丁的受影响服务器都可能被轻易攻陷，导致攻击者获得系统控制权并执行任意代码。

Oracle通过其“安全警报”计划发布了此次计划外的紧急补丁，这通常用于处理已被积极利用或极为关键的漏洞。公司强烈建议所有客户立即应用更新。然而，补丁仅提供给处于“首要支持”或“扩展支持”期的版本，这意味着使用更旧、已停止支持版本的系统可能仍处于脆弱状态。

尽管Oracle尚未确认该漏洞是否已在野外被利用，但其高危特性及广泛的产品应用范围——尤其在政府、金融和大型企业中——使得迅速修补至关重要。此次事件再次提醒组织，必须对核心身份与访问管理系统的安全保持最高警惕，并及时应用安全更新。