Oracle выпустила экстренное обновление безопасности, закрывающее критическую уязвимость CVE-2026-21992 в двух своих продуктах: Oracle Identity Manager и Oracle Web Services Manager. Уязвимость получила оценку 9.8 из 10.0 по шкале CVSS — это почти максимум, и такие цифры в индустрии воспринимают серьёзно.
Суть проблемы в том, что атакующему не нужны никакие учётные данные. Никакого пароля, никакого токена, никакой авторизации. Достаточно сетевого доступа по HTTP, чтобы выполнить произвольный код на уязвимой системе. В базе NVD (National Vulnerability Database), которую ведёт NIST, уязвимость классифицирована как «легко эксплуатируемая» — и это не преувеличение, а технический термин, означающий низкий порог входа для атакующего.
Под угрозой находятся конкретные версии обоих продуктов: Oracle Web Services Manager 12.2.1.4.0 и 14.1.2.1.0, а также Oracle Identity Manager тех же версий — 12.2.1.4.0 и 14.1.2.1.0. Если в инфраструктуре есть хоть одна из этих версий, обновление обязательно.
Результат успешной эксплуатации — полный захват затронутого экземпляра Oracle. Это не утечка данных и не частичная компрометация: атакующий получает полный контроль над системой. Для организаций, использующих Oracle Identity Manager как часть инфраструктуры управления доступом, последствия могут распространиться далеко за пределы самого сервера.
Oracle утверждает, что CVE-2026-21992 пока не эксплуатируется «in the wild» — то есть активных атак с использованием именно этой уязвимости зафиксировано не было. Но это не повод медлить. История с предыдущей уязвимостью в том же Oracle Identity Manager даёт понять, насколько быстро ситуация может измениться.
Речь о CVE-2025-61757 — другой уязвимости в Oracle Identity Manager с идентичным CVSS-баллом 9.8. Она тоже позволяла выполнить код без аутентификации. В ноябре 2025 года U.S. CISA (Cybersecurity and Infrastructure Security Agency) внесла CVE-2025-61757 в свой KEV Catalog — каталог Known Exploited Vulnerabilities, куда попадают только те уязвимости, которые реально используются злоумышленниками в атаках. Это вмешательство государственного агентства говорит само за себя: угроза была реальной, а не гипотетической.
Два продукта, два CVE с почти идентичными характеристиками, одна и та же архитектурная проблема с аутентификацией. Это не случайное совпадение, а признак системной уязвимости в определённом слое кодовой базы Oracle. Такие паттерны обычно означают, что исследователи и атакующие будут искать похожие векторы в смежных компонентах.
Патч уже доступен. Oracle настоятельно рекомендует немедленную установку обновления — без ожидания планового окна обслуживания. Учитывая, что предыдущая аналогичная уязвимость от теории перешла к реальной эксплуатации достаточно быстро, чтобы CISA отреагировала официально, промедление с CVE-2026-21992 выглядит как осознанный риск, а не просто отложенная задача в трекере.
Изображение носит иллюстративный характер
Суть проблемы в том, что атакующему не нужны никакие учётные данные. Никакого пароля, никакого токена, никакой авторизации. Достаточно сетевого доступа по HTTP, чтобы выполнить произвольный код на уязвимой системе. В базе NVD (National Vulnerability Database), которую ведёт NIST, уязвимость классифицирована как «легко эксплуатируемая» — и это не преувеличение, а технический термин, означающий низкий порог входа для атакующего.
Под угрозой находятся конкретные версии обоих продуктов: Oracle Web Services Manager 12.2.1.4.0 и 14.1.2.1.0, а также Oracle Identity Manager тех же версий — 12.2.1.4.0 и 14.1.2.1.0. Если в инфраструктуре есть хоть одна из этих версий, обновление обязательно.
Результат успешной эксплуатации — полный захват затронутого экземпляра Oracle. Это не утечка данных и не частичная компрометация: атакующий получает полный контроль над системой. Для организаций, использующих Oracle Identity Manager как часть инфраструктуры управления доступом, последствия могут распространиться далеко за пределы самого сервера.
Oracle утверждает, что CVE-2026-21992 пока не эксплуатируется «in the wild» — то есть активных атак с использованием именно этой уязвимости зафиксировано не было. Но это не повод медлить. История с предыдущей уязвимостью в том же Oracle Identity Manager даёт понять, насколько быстро ситуация может измениться.
Речь о CVE-2025-61757 — другой уязвимости в Oracle Identity Manager с идентичным CVSS-баллом 9.8. Она тоже позволяла выполнить код без аутентификации. В ноябре 2025 года U.S. CISA (Cybersecurity and Infrastructure Security Agency) внесла CVE-2025-61757 в свой KEV Catalog — каталог Known Exploited Vulnerabilities, куда попадают только те уязвимости, которые реально используются злоумышленниками в атаках. Это вмешательство государственного агентства говорит само за себя: угроза была реальной, а не гипотетической.
Два продукта, два CVE с почти идентичными характеристиками, одна и та же архитектурная проблема с аутентификацией. Это не случайное совпадение, а признак системной уязвимости в определённом слое кодовой базы Oracle. Такие паттерны обычно означают, что исследователи и атакующие будут искать похожие векторы в смежных компонентах.
Патч уже доступен. Oracle настоятельно рекомендует немедленную установку обновления — без ожидания планового окна обслуживания. Учитывая, что предыдущая аналогичная уязвимость от теории перешла к реальной эксплуатации достаточно быстро, чтобы CISA отреагировала официально, промедление с CVE-2026-21992 выглядит как осознанный риск, а не просто отложенная задача в трекере.
