Oracle tiene publicado actualizaciones de seguridad para corregir una falla de seguridad crítica que afecta a Identity Manager y Web Services Manager y que podría aprovecharse para lograr la ejecución remota de código.

La vulnerabilidad, rastreada como CVE-2026-21992 , tiene una puntuación CVSS de 9,8 sobre un máximo de 10,0.

«Esta vulnerabilidad se puede explotar de forma remota sin necesidad de autenticación», dice Oracle dijo en un aviso. «Si se explota correctamente, esta vulnerabilidad puede provocar la ejecución remota de código».

CVE-2026-21992 afecta a las siguientes versiones -

  • Oracle Identity Manager versiones 12.2.1.4.0 y 14.1.2.1.0
  • Oracle Web Services Manager versiones 12.2.1.4.0 y 14.1.2.1.0
adsense

Según un descripción de la falla en la base de datos nacional de vulnerabilidades (NVD) del NIST, es «fácilmente explotable» y podría permitir que un atacante no autenticado con acceso a la red a través de HTTP pusiera en peligro Oracle Identity Manager y Oracle Web Services Manager. Esto, a su vez, puede resultar en la apropiación exitosa de las instancias vulnerables.

Oracle no menciona la vulnerabilidad que se está explotando en la naturaleza. Sin embargo, el gigante tecnológico ha instado a los clientes a aplicar la actualización sin demora para una protección óptima.

En noviembre de 2025, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) añadió CVE-2025-61757 (puntuación CVSS: 9,8), un error de ejecución remota de código preautenticado que afecta a Oracle Identity Manager, figura en el catálogo de vulnerabilidades explotadas conocidas (KEV), en el que se citan pruebas de explotación activa.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.