**Oracle** hat ein außerplanmäßiges Sicherheitsupdate veröffentlicht, um eine kritische, nicht authentifizierte Schwachstelle für die Ausführung von Remote-Code (RCE) in **Identity Manager** und **Web Services Manager** zu beheben, die als **CVE-2026-21992** identifiziert wurde. ### Betroffene Produkte **Oracle Identity Manager** ist eine Schlüsselkomponente für die Verwaltung von Identitäten und Zugriffen in Unternehmensumgebungen. **Oracle Web Services Manager** bietet Sicherheits- und Verwaltungsfunktionen für Webservices. ### Details zur Schwachstelle Laut dem veröffentlichten Sicherheitsratgeber fordert **Oracle** die Kunden dringend auf, die bereitgestellten Patches umgehend anzuwenden. "Diese Sicherheitswarnung befasst sich mit der Schwachstelle **CVE-2026-21992** in **Oracle Identity Manager** und **Oracle Web Services Manager**. Diese Schwachstelle ist ohne Authentifizierung aus der Ferne ausnutzbar. Bei erfolgreicher Ausnutzung kann diese Schwachstelle zur Ausführung von Remote-Code führen", heißt es in dem [Sicherheitsratgeber](https://www.oracle.com/security-alerts/alert-cve-2026-21992.html). "Oracle empfiehlt Kunden dringend, die von dieser Sicherheitswarnung bereitgestellten Updates oder Abhilfemaßnahmen so schnell wie möglich anzuwenden. Oracle empfiehlt Kunden stets, auf aktiv unterstützte Versionen zu aktualisieren und alle Sicherheitswarnungen und Critical Patch Update-Sicherheitspatches ohne Verzögerung anzuwenden." **CVE-2026-21992** hat einen CVSS v3.1 Schweregrad von 9,8, was seine kritische Natur unterstreicht. Die Schwachstelle betrifft **Oracle Identity Manager** Versionen 12.2.1.4.0 und 14.1.2.1.0 sowie **Oracle Web Services Manager** Versionen 12.2.1.4.0 und 14.1.2.1.0. ### Technische Analyse **Oracle** berichtet, dass der Fehler geringe Komplexität aufweist, über HTTP aus der Ferne ausnutzbar ist und keine Authentifizierung oder Benutzerinteraktion erfordert. Diese Kombination von Faktoren erhöht das Risiko der Ausnutzung erheblich, insbesondere auf internetzugänglichen Servern. ### Behebung Die Korrektur wurde über **Oracles** [Security Alert Programm](https://www.oracle.com/corporate/security-practices/assurance/vulnerability/) veröffentlicht, das darauf ausgelegt ist, außerplanmäßige Korrekturen für kritische oder aktiv ausgenutzte Schwachstellen bereitzustellen. **Oracle** weist jedoch darauf hin, dass diese Patches nur für Versionen unter Premier- oder Extended Support verfügbar sind, wodurch ältere, nicht unterstützte Versionen potenziell anfällig bleiben. Derzeit hat **Oracle** nicht bekannt gegeben, ob **CVE-2026-21992** bereits aktiv in freier Wildbahn ausgenutzt wurde. In einem separaten [Blogbeitrag](https://blogs.oracle.com/security/alert-cve-2026-21992), der heute veröffentlicht wurde, bekräftigte **Oracle** die Schwere von **CVE-2026-21992** und riet Kunden, die Sicherheitswarnung sorgfältig auf umfassende Details und Anweisungen zur Patch-Installation zu prüfen. <div> <a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0"><img alt="tines" src="https://www.bleepstatic.com/c/p/red-report.jpg"></a> <div> <h2><a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0">Red Report 2026: Warum die Ransomware-Verschlüsselung um 38 % zurückging</a></h2> <p>Malware wird immer intelligenter. Der Red Report 2026 enthüllt, wie neue Bedrohungen Mathematik nutzen, um Sandboxes zu erkennen und sich unauffällig zu verbergen.</p> <p>Laden Sie unsere Analyse von 1,1 Millionen bösartigen Samples herunter, um die Top 10 Techniken aufzudecken und zu sehen, ob Ihr Security Stack blind ist.</p> </div> </div>