Vulnerabilidad crítica en Oracle Fusion Middleware

Oracle ha publicado recientemente una alerta de seguridad fuera de su ciclo habitual de parches para corregir una vulnerabilidad crítica en Oracle Fusion Middleware, identificada como CVE-2026-21992.
Esta vulnerabilidad afecta a componentes clave como Oracle Identity Manager (OIM) y Oracle Web Services Manager (OWSM), y ha sido catalogada como crítica debido a que permite la ejecución remota de código (RCE) sin autenticación.
Este tipo de vulnerabilidades supone un riesgo especialmente elevado en entornos corporativos, donde estos sistemas gestionan identidades, accesos y políticas de seguridad.
 
Análisis
La vulnerabilidad CVE-2026-21992 cuenta con una puntuación CVSS 9.8 (Crítica) y permite a un atacante remoto no autenticado ejecutar código en los sistemas afectados.
El impacto potencial incluye:
    • Manipulación de identidades, roles y políticas en Oracle Identity Manager (OIM).
    • Desactivación o modificación de políticas de seguridad en Oracle Web Services Manager (OWSM).
    • Posibilidad de movimientos laterales dentro de la red.
    • Escalada de privilegios.
    • Robo de información sensible o interrupción de servicios.
La vulnerabilidad afecta a las versiones:
    • 12.2.1.4.0
    • 14.1.2.1.0
Se estima que más de 1.000 organizaciones podrían verse afectadas, incluyendo grandes corporaciones internacionales.
Aunque actualmente no se ha confirmado explotación activa, expertos en seguridad indican que el riesgo es elevado debido a su similitud con la vulnerabilidad CVE-2025-61757, también de tipo RCE con CVSS 9.8, explotada previamente. Ambas afectan al componente REST WebServices de OIM, lo que sugiere posibles similitudes técnicas.
Además, en entornos corporativos complejos, la aplicación de parches urgentes puede retrasarse, incrementando la ventana de exposición y el riesgo de explotación.

Recursos afectados
Infraestructuras que utilicen:
    • Oracle Identity Manager (OIM)
    • Oracle Web Services Manager (OWSM)
    • Oracle Fusion Middleware en versiones:
      • 12.2.1.4.0
      • 14.1.2.1.0
Recomendaciones
    • Revisar si los sistemas Oracle afectados se encuentran desplegados en la organización.
    • Aplicar los parches de seguridad publicados por Oracle con la máxima prioridad.
    • Priorizar la actualización de sistemas críticos o expuestos a red.
    • Implementar medidas de monitorización para detectar posibles intentos de explotación.
    • Revisar accesos, roles y configuraciones en OIM y OWSM como medida preventiva.
    • Mantener un inventario actualizado de tecnologías para facilitar la gestión de vulnerabilidades futuras.
Referencias