文章总结： Oracle发布紧急安全警报，修复了一个高危的远程代码执行漏洞（CVE-2026-21992），该漏洞影响OracleIdentityManager和OracleWebServicesManager。攻击者无需身份验证即可远程入侵系统并执行任意代码，可能导致恶意软件部署、敏感数据泄露或内网渗透。使用相关组件的组织需立即采取行动以防范风险。 综合评分： 85 文章分类： 漏洞预警,网络安全,应用安全,解决方案,数据安全

Oracle修复影响身份和Web服务平台的高危远程代码执行漏洞

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月22日 11:15 北京

Oracle 最近发布了一项紧急安全警报，指出存在一个严重的远程代码执行 (RCE) 漏洞，该漏洞会影响Oracle Identity Manager和 Oracle Web Services Manager。

该漏洞编号为 CVE-2026-21992，攻击者无需任何用户身份验证即可远程入侵系统。

使用这些受影响的 Fusion Middleware 组件的组织必须立即采取行动，以防止潜在的系统接管。

CVE-2026-21992 的发现凸显了这些企业平台处理传入网络请求的方式存在严重缺陷。

由于该漏洞利用不需要事先进行身份验证，威胁行为者只需向目标系统发送专门构造的网络数据包即可。

如果攻击者成功利用此漏洞，他们可以直接在主机服务器上执行任意代码。

这种深层次的系统访问权限使威胁行为者能够部署恶意软件、窃取敏感的企业身份数据，或进一步渗透到企业内部网络中。

安全团队应注意，Oracle 使用通用漏洞评分系统 (CVSS) 3.1 版评估此漏洞的严重性。

虽然该建议有意隐藏了漏洞利用的逐步技术机制，以防止威胁行为者立即进行逆向工程，但由此产生的风险矩阵提供了关键的背景信息。

该漏洞通过标准网络协议触发，这意味着像 HTTPS 这样的安全协议变体仍然同样容易受到攻击，直到管理员应用必要的更新。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《Oracle修复影响身份和Web服务平台的高危远程代码执行漏洞》