CVE-2026-21992 : RCE critique dans Oracle Identity Manager

Oracle émet un Security Alert hors cycle pour CVE-2026-21992

Oracle a publié le 20 mars 2026 un correctif de sécurité hors cycle (out-of-band) via son programme Security Alert. La vulnérabilité CVE-2026-21992 affecte Oracle Identity Manager (OIM) et Oracle Web Services Manager (OWSM), deux composants clés de la suite Oracle Fusion Middleware.

Analyse technique de la vulnérabilité

La faille obtient un score CVSS v3.1 de 9.8 (critique). Le vecteur d'attaque est réseau (AV:N), la complexité d'attaque est basse (AC:L), aucun privilège n'est requis (PR:N) et aucune interaction utilisateur n'est nécessaire (UI:N). L'impact est total sur la confidentialité, l'intégrité et la disponibilité (C:H/I:H/A:H).

Concrètement, un attaquant peut exploiter cette faille à distance via HTTP sans authentification pour obtenir une exécution de code arbitraire (RCE) sur le serveur cible. La faible complexité d'exploitation et l'absence totale de prérequis rendent cette vulnérabilité particulièrement critique pour les déploiements exposés sur internet.

Produits et versions affectés

Deux produits Oracle Fusion Middleware sont concernés :

• Oracle Identity Manager : versions 12.2.1.4.0 et 14.1.2.1.0
• Oracle Web Services Manager : versions 12.2.1.4.0 et 14.1.2.1.0

OIM gère le provisionnement des identités, les workflows d'approbation et la réconciliation des comptes à travers l'infrastructure IT d'une organisation. OWSM fournit les politiques de sécurité (authentification, autorisation, chiffrement) pour les web services déployés sur WebLogic Server.

Une compromission d'OIM donne potentiellement accès à l'ensemble du référentiel d'identités de l'organisation, ce qui en fait une cible de choix pour des mouvements latéraux post-exploitation.

Détails du correctif

Le patch est distribué via le programme Security Alert d'Oracle, réservé aux vulnérabilités critiques justifiant une publication hors du calendrier trimestriel des Critical Patch Updates (CPU). Oracle insiste sur l'application immédiate du correctif.

Point important pour les équipes d'infrastructure : les correctifs Security Alert ne sont disponibles que pour les versions sous contrat Premier Support ou Extended Support. Les versions hors support ne recevront pas de patch officiel, laissant les organisations concernées face à un choix entre migration urgente et mitigation manuelle.

Statut d'exploitation

Oracle n'a pas communiqué sur l'exploitation active de CVE-2026-21992 et a décliné les demandes de commentaire de BleepingComputer. Cette posture est inhabituelle : les éditeurs qui publient des correctifs hors cycle sans confirmer d'exploitation in-the-wild le font généralement par précaution, mais le refus de commenter suggère une situation où la divulgation responsable est encore en cours.

Les équipes SOC (Security Operations Center) devraient considérer cette faille comme potentiellement exploitée et prioriser la détection de tentatives d'exploitation sur les instances OIM et OWSM exposées, en surveillant les requêtes HTTP anormales sur les endpoints de ces applications.

Recommandations

Appliquer le correctif sans délai sur toutes les instances OIM et OWSM en production. Si le patch ne peut pas être déployé immédiatement, restreindre l'accès réseau aux composants affectés en limitant les sources autorisées via firewall ou WAF (Web Application Firewall). Auditer les logs d'accès des serveurs WebLogic hébergeant ces composants pour détecter d'éventuelles tentatives d'exploitation antérieures.

Sources : Oracle Security Alert CVE-2026-21992, BleepingComputer