Oracle corrige falha crítica no Identity Manager

A Oracle lançou atualizações de emergência para corrigir uma vulnerabilidade crítica que afeta o Oracle Identity Manager e o Oracle Web Services Manager, componentes da suite Fusion Middleware.

A falha, identificada como CVE-2026-21992, apresenta um score CVSS de 9,8 e pode ser explorada remotamente sem necessidade de autenticação. O problema afeta o componente REST WebServices do Identity Manager e o Web Services Security do Web Services Manager.

Segundo a descrição da vulnerabilidade, um atacante com acesso à rede via HTTP pode comprometer totalmente os sistemas afetados, permitindo a execução remota de código e o controlo das plataformas.

O Oracle Identity Manager é utilizado para gestão de identidades e acessos em ambientes empresariais, incluindo provisionamento e desprovisionamento de utilizadores. Já o Oracle Web Services Manager assegura a gestão e proteção de serviços web através de políticas de segurança.

A Oracle emitiu um alerta através do seu Integrated Cyber Center para destacar a necessidade de aplicação imediata dos patches. No entanto, a empresa não confirmou explicitamente se a vulnerabilidade já foi explorada em ataques reais.

Este cenário segue um padrão anterior. Em novembro de 2025, a Oracle corrigiu uma vulnerabilidade crítica de execução remota no Identity Manager sem indicar exploração ativa, tendo sido posteriormente confirmada como zero-day.

Mais recentemente, vulnerabilidades na Oracle E-Business Suite foram exploradas numa campanha de exfiltração de dados que afetou mais de cem organizações. Os ataques recorreram a falhas zero-day, sem que a Oracle tenha detalhado quais as vulnerabilidades utilizadas.

A criticidade da CVE-2026-21992 e a ausência de necessidade de autenticação aumentam o risco para organizações que utilizam estas plataformas. A aplicação imediata das atualizações de segurança é recomendada para mitigar potenciais compromissos.