Oracle - CVE-2026-21945
Date de publication :
Une vulnérabilité de type Server-Side Request Forgery (SSRF) liée à une consommation incontrôlée de ressources lors du traitement des certificats TLS Oracle Java SE et Oracle GraalVM permet à un attaquant distant non authentifié de provoquer un blocage ou un crash du service.
Cette faille affecte principalement les environnements exécutant du code non fiable (Java Web Start, applets sandboxés).
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Déni de service
Exploitation
La vulnérabilité exploitée est du type
CWE-400 : Uncontrolled Resource Consumption
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
- Oracle Java SE versions 8u471, 8u471-b50, 8u471-perf, 11.0.29, 17.0.17, 21.0.9, 25.0.1 et antérieures,
- Oracle GraalVM for JDK versions 17.0.17 et 21.0.9 et antérieures,
- Oracle GraalVM Enterprise Edition version 21.3.16 et antérieures.
Contournement provisoire
- Désactiver le support AIA CA Issuers lorsque cela est possible
- Éviter l’exécution de code non fiable (applets ou Java Web Start) dans les environnements exposés
Solutions ou recommandations
- Oracle Java SE dernière version corrigée (Patch Update Advisory - January 2026),
- Oracle GraalVM for JDK dernière version corrigée (Patch Update Advisory - January 2026),
- Oracle GraalVM Enterprise Edition dernière version corrigée (Patch Update Advisory - January 2026).