**Oracle** a publié une mise à jour de sécurité hors bande pour remédier à une vulnérabilité critique d'exécution de code à distance non authentifiée dans **Identity Manager** et **Web Services Manager**, identifiée comme **CVE-2026-21992**. ### Produits Affectés **Oracle Identity Manager** est une solution clé pour la gestion des identités et des accès dans les environnements d'entreprise. **Oracle Web Services Manager** fournit des contrôles de sécurité et de gestion pour les services web. ### Détails de la Vulnérabilité Selon l'avis de sécurité publié, **Oracle** exhorte fortement les clients à appliquer immédiatement les correctifs fournis. "Cette alerte de sécurité traite de la vulnérabilité **CVE-2026-21992** dans **Oracle Identity Manager** et **Oracle Web Services Manager**. Cette vulnérabilité est exploitable à distance sans authentification. Si elle est exploitée avec succès, cette vulnérabilité peut entraîner une exécution de code à distance", indique l'[avis de sécurité](https://www.oracle.com/security-alerts/alert-cve-2026-21992.html). "Oracle recommande vivement aux clients d'appliquer les mises à jour ou les atténuations fournies par cette alerte de sécurité dès que possible. Oracle recommande toujours aux clients de rester sur les versions activement supportées et d'appliquer tous les correctifs de sécurité des alertes de sécurité et des mises à jour critiques sans délai." **CVE-2026-21992** a un score de sévérité CVSS v3.1 de 9.8, indiquant sa nature critique. La vulnérabilité affecte les versions 12.2.1.4.0 et 14.1.2.1.0 d'**Oracle Identity Manager**, et les versions 12.2.1.4.0 et 14.1.2.1.0 d'**Oracle Web Services Manager**. ### Analyse Technique **Oracle** rapporte que la faille est de faible complexité, exploitable à distance via HTTP, et ne nécessite aucune authentification ni interaction utilisateur. Cette combinaison de facteurs augmente considérablement le risque d'exploitation, en particulier sur les serveurs exposés sur Internet. ### Remédiation Le correctif a été publié via le [programme d'alerte de sécurité](https://www.oracle.com/corporate/security-practices/assurance/vulnerability/) d'**Oracle**, conçu pour fournir des correctifs hors calendrier pour les vulnérabilités critiques ou activement exploitées. Cependant, **Oracle** note que ces correctifs ne sont disponibles que pour les versions sous support Premier ou Extended, laissant potentiellement vulnérables les versions plus anciennes et non supportées. Actuellement, **Oracle** n'a pas divulgué si **CVE-2026-21992** a été activement exploité dans la nature. Dans un [billet de blog](https://blogs.oracle.com/security/alert-cve-2026-21992) séparé publié aujourd'hui, **Oracle** a réitéré la gravité de **CVE-2026-21992** et a conseillé aux clients de consulter attentivement l'alerte de sécurité pour obtenir des détails complets et des instructions de patching. <div> <a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0"><img alt="tines" src="https://www.bleepstatic.com/c/p/red-report.jpg"></a> <div> <h2><a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0">Rapport Rouge 2026 : Pourquoi le chiffrement des ransomwares a chuté de 38%</a></h2> <p>Les malwares deviennent plus intelligents. Le Rapport Rouge 2026 révèle comment les nouvelles menaces utilisent les mathématiques pour détecter les sandboxes et se cacher à la vue de tous.</p> <p>Téléchargez notre analyse de 1,1 million d'échantillons malveillants pour découvrir les 10 principales techniques et voir si votre pile de sécurité est aveugle.</p> </div> </div>