**Oracle** lançou uma atualização de segurança fora de banda para remediar uma vulnerabilidade crítica de execução remota de código não autenticada no **Identity Manager** e **Web Services Manager**, identificada como **CVE-2026-21992**. ### Produtos Afetados O **Oracle Identity Manager** é uma solução chave para gerenciar identidades e acessos em ambientes corporativos. O **Oracle Web Services Manager** fornece controles de segurança e gerenciamento para serviços web. ### Detalhes da Vulnerabilidade De acordo com o boletim de segurança divulgado, a **Oracle** está fortemente incentivando os clientes a aplicar os patches fornecidos imediatamente. "Este Alerta de Segurança aborda a vulnerabilidade **CVE-2026-21992** no **Oracle Identity Manager** e **Oracle Web Services Manager**. Esta vulnerabilidade é explorável remotamente sem autenticação. Se explorada com sucesso, esta vulnerabilidade pode resultar em execução remota de código," afirma o [boletim de segurança](https://www.oracle.com/security-alerts/alert-cve-2026-21992.html). "A Oracle recomenda fortemente que os clientes apliquem as atualizações ou mitigações fornecidas por este Alerta de Segurança o mais rápido possível. A Oracle sempre recomenda que os clientes permaneçam em versões ativamente suportadas e apliquem todos os Alertas de Segurança e patches de segurança de Critical Patch Update sem demora." **CVE-2026-21992** possui uma pontuação de severidade CVSS v3.1 de 9.8, indicando sua natureza crítica. A vulnerabilidade afeta as versões 12.2.1.4.0 e 14.1.2.1.0 do **Oracle Identity Manager**, e as versões 12.2.1.4.0 e 14.1.2.1.0 do **Oracle Web Services Manager**. ### Análise Técnica A **Oracle** relata que a falha é de baixa complexidade, explorável remotamente via HTTP, e não requer autenticação ou interação do usuário. Essa combinação de fatores aumenta significativamente o risco de exploração, especialmente em servidores expostos à internet. ### Remediação A correção foi lançada através do [programa Security Alert da Oracle](https://www.oracle.com/corporate/security-practices/assurance/vulnerability/), que é projetado para fornecer correções fora de cronograma para vulnerabilidades críticas ou ativamente exploradas. No entanto, a **Oracle** observa que esses patches estão disponíveis apenas para versões sob Premier ou Extended Support, deixando versões mais antigas e não suportadas potencialmente vulneráveis. Atualmente, a **Oracle** não divulgou se **CVE-2026-21992** foi ativamente explorada em campo. Em um [post de blog](https://blogs.oracle.com/security/alert-cve-2026-21992) separado publicado hoje, a **Oracle** reiterou a severidade de **CVE-2026-21992** e aconselhou os clientes a revisarem cuidadosamente o alerta de segurança para detalhes abrangentes e instruções de patching. <div> <a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0"><img alt="tines" src="https://www.bleepstatic.com/c/p/red-report.jpg"></a> <div> <h2><a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0">Red Report 2026: Por que a Criptografia de Ransomware Caiu 38%</a></h2> <p>Malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos.</p> <p>Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.</p> </div> </div>