Oracle - CVE-2026-21992
Date de publication :
Il s'agit d'une vulnérabilité dans les composants REST WebServices et Web Services Security d’Oracle Fusion Middleware.
Oracle Identity Manager est une solution de gestion des identités et des accès. Oracle Web Services Manager est un composant de sécurisation des services web dans Oracle Fusion Middleware.
Le mécanisme de traitement des requêtes HTTP ne met pas en œuvre des contrôles de sécurité suffisants sur les appels réseau non authentifiés. La faille est accessible via une exposition des interfaces REST et des services web sécurisés. Le traitement insuffisant des requêtes permet d’exécuter du code dans le contexte de l’application cible avec des privilèges élevés.
Elle permet une exécution de code arbitraire à distance et une compromission complète du système.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-284 : Improper Access Control
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Oracle Identity Manager versions 12.2.1.4.0
• Oracle Identity Manager versions 14.1.2.1.0
• Oracle Web Services Manager versions 12.2.1.4.0
• Oracle Web Services Manager versions 14.1.2.1.0