Oracle - CVE-2026-34285
Date de publication :
Il s'agit d'une vulnérabilité dans le composant Core d'Oracle Identity Manager Connector version 12.2.1.4.0.
Oracle Identity Manager Connector est un composant de la suite Oracle Fusion Middleware. Il assure la synchronisation et le provisionnement des identités entre Oracle Identity Manager (OIM) et des applications cibles tierces telles qu'Active Directory, LDAP ou des applications métier, via des connecteurs standardisés.
La vulnérabilité est qualifiée par Oracle d'"easily exploitable" et accessible via HTTPS sans authentification. Un attaquant distant non authentifié disposant d'un accès réseau peut envoyer des requêtes malveillantes au composant Core pour accéder à l'ensemble des données gérées par le connecteur. Les impacts portent sur la confidentialité et l'intégrité des données d'identités synchronisées, avec la possibilité de créer, modifier ou supprimer des entrées critiques. Oracle ne fournit pas de détails techniques supplémentaires sur le mécanisme précis, conformément à sa politique de divulgation.
Elle permet une atteinte à la confidentialité et à l'intégrité des données d'identités gérées par le connecteur, avec accès complet non autorisé à l'ensemble des données accessibles.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
Exploitation
CWE-284 : Improper Access Control
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Oracle Identity Manager Connector version 12.2.1.4.0