Oracle publie un patch d'urgence pour une faille critique
Oracle corrige en urgence une vulnérabilité critique dans Identity Manager permettant une prise de contrôle à distance sans mot de passe.
Oracle sort un correctif en catastrophe
Oracle vient de publier un patch de sécurité en dehors de son calendrier habituel. La raison : une faille jugée critique dans deux de ses logiciels d'entreprise, Oracle Identity Manager et Oracle Web Services Manager.
Pour comprendre, Identity Manager est un logiciel utilisé par les grandes entreprises pour gérer qui a accès à quoi dans leur réseau. Imaginez un gardien numérique qui distribue les badges d'accès à tous les employés. Si ce gardien est compromis, un attaquant peut se faire passer pour n'importe qui.
Pourquoi c'est grave
La faille, référencée CVE-2026-21992, a obtenu un score de gravité de 9.8 sur 10 sur l'échelle CVSS (Common Vulnerability Scoring System, le système standard de notation des vulnérabilités). C'est quasi le maximum possible.
Ce qui rend cette faille particulièrement dangereuse : un attaquant peut l'exploiter à distance, via une simple connexion internet, sans avoir besoin de mot de passe ni d'interaction de la part d'un utilisateur. En clair, il suffit que le serveur soit accessible depuis internet pour qu'il soit vulnérable.
En cas d'exploitation réussie, l'attaquant obtient la possibilité d'exécuter du code sur le serveur, c'est-à-dire d'y faire tourner ses propres programmes. C'est l'équivalent numérique de donner les clés de l'immeuble à un cambrioleur.
Les versions concernées
Deux logiciels Oracle sont touchés :
- Oracle Identity Manager, versions 12.2.1.4.0 et 14.1.2.1.0
- Oracle Web Services Manager, mêmes versions
Ces logiciels sont déployés dans de nombreuses grandes entreprises et administrations à travers le monde.
Que faire si vous êtes concerné
Oracle recommande "fortement" d'appliquer le correctif immédiatement. Le mot est rare dans leurs communications officielles et souligne l'urgence de la situation.
Un point important : seules les versions encore sous contrat de support (Premier ou Extended Support) reçoivent le correctif. Les entreprises qui utilisent des versions plus anciennes et non supportées restent potentiellement vulnérables sans solution officielle.
Oracle n'a pas précisé si la faille est déjà exploitée par des attaquants, et a refusé de commenter sur ce point. Ce silence laisse planer un doute : quand un éditeur publie un correctif hors calendrier sans confirmer ni infirmer une exploitation active, la prudence veut qu'on traite la menace comme imminente.
Source : Oracle Security Alert, BleepingComputer
À lire aussi
CVE-2026-21992 : RCE critique dans Oracle Identity Manager
Oracle publie un correctif hors cycle pour CVE-2026-21992, faille RCE non authentifiée (CVSS 9.8) dans Identity Manager et Web Services Manager.
Le FBI alerte : la Russie pirate Signal et WhatsApp
Le FBI confirme que les services de renseignement russes ciblent les utilisateurs de Signal et WhatsApp via des campagnes de phishing massives.
Le FBI attribue le phishing Signal au renseignement russe
Le FBI attribue officiellement les campagnes de détournement de comptes Signal et WhatsApp aux services de renseignement russes. Analyse technique.