**Oracle** ha lanzado una actualización de seguridad fuera de banda para remediar una vulnerabilidad crítica de ejecución remota de código no autenticada en **Identity Manager** y **Web Services Manager**, identificada como **CVE-2026-21992**. ### Productos Afectados **Oracle Identity Manager** es una solución clave para la gestión de identidades y accesos en entornos empresariales. **Oracle Web Services Manager** proporciona controles de seguridad y gestión para servicios web. ### Detalles de la Vulnerabilidad Según el aviso de seguridad publicado, **Oracle** insta encarecidamente a los clientes a aplicar los parches proporcionados de inmediato. "Esta Alerta de Seguridad aborda la vulnerabilidad **CVE-2026-21992** en **Oracle Identity Manager** y **Oracle Web Services Manager**. Esta vulnerabilidad es explotable de forma remota sin autenticación. Si se explota con éxito, esta vulnerabilidad puede resultar en la ejecución remota de código", afirma el [aviso de seguridad](https://www.oracle.com/security-alerts/alert-cve-2026-21992.html). "Oracle recomienda encarecidamente que los clientes apliquen las actualizaciones o mitigaciones proporcionadas por esta Alerta de Seguridad lo antes posible. Oracle siempre recomienda que los clientes permanezcan en versiones activamente soportadas y apliquen todas las Alertas de Seguridad y parches de seguridad de Actualización Crítica de Parches sin demora." **CVE-2026-21992** tiene una puntuación de severidad CVSS v3.1 de 9.8, lo que indica su naturaleza crítica. La vulnerabilidad afecta a las versiones 12.2.1.4.0 y 14.1.2.1.0 de **Oracle Identity Manager**, y a las versiones 12.2.1.4.0 y 14.1.2.1.0 de **Oracle Web Services Manager**. ### Análisis Técnico **Oracle** informa que la falla es de baja complejidad, explotable de forma remota a través de HTTP, y no requiere autenticación ni interacción del usuario. Esta combinación de factores aumenta significativamente el riesgo de explotación, especialmente en servidores expuestos a Internet. ### Remediación La solución se ha lanzado a través del [programa Security Alert de Oracle](https://www.oracle.com/corporate/security-practices/assurance/vulnerability/), que está diseñado para proporcionar correcciones fuera de horario para vulnerabilidades críticas o activamente explotadas. Sin embargo, **Oracle** señala que estos parches solo están disponibles para versiones bajo Soporte Premier o Extendido, dejando potencialmente vulnerables las versiones más antiguas y no soportadas. Actualmente, **Oracle** no ha revelado si **CVE-2026-21992** ha sido explotado activamente en la naturaleza. En una [publicación de blog](https://blogs.oracle.com/security/alert-cve-2026-21992) separada publicada hoy, **Oracle** reiteró la severidad de **CVE-2026-21992** y aconsejó a los clientes que revisaran detenidamente la alerta de seguridad para obtener detalles completos e instrucciones de parcheo. <div> <a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0"><img alt="tines" src="https://www.bleepstatic.com/c/p/red-report.jpg"></a> <div> <h2><a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0">Red Report 2026: Por qué el cifrado de Ransomware cayó un 38%</a></h2> <p>El malware es cada vez más inteligente. El Red Report 2026 revela cómo las nuevas amenazas utilizan las matemáticas para detectar sandboxes y ocultarse a plena vista.</p> <p>Descargue nuestro análisis de 1.1 millones de muestras maliciosas para descubrir las 10 técnicas principales y ver si su pila de seguridad está ciega.</p> </div> </div>