🔔 Contexte
Oracle a publié le 19 mars 2026 (révisé le 20 mars 2026) une alerte de sécurité officielle sur son portail Security Alerts, adressant la vulnérabilité CVE-2026-21992 affectant des composants de la suite Oracle Fusion Middleware.
🎯 Vulnérabilité concernée
- CVE : CVE-2026-21992
- Score CVSS v3.1 : 9.8 (Critique)
- Vecteur d’attaque : Réseau, sans authentification requise
- Complexité : Faible
- Impact : Confidentialité, Intégrité et Disponibilité — tous High
- Protocole : HTTP (et HTTPS par extension)
- Scope : Unchanged
🛠️ Produits affectés
- Oracle Identity Manager — Composant : REST Web Services
- Oracle Web Services Manager — Composant : Web Services Security
Les deux produits sont couverts par la même CVE et présentent le même score de risque.
⚠️ Oracle Web Services Manager est installé avec une infrastructure Oracle Fusion Middleware.
💥 Impact
L’exploitation réussie de cette vulnérabilité peut entraîner une exécution de code à distance (RCE) sans nécessiter d’authentification préalable, ce qui en fait une menace particulièrement sévère pour les environnements exposés.
📋 Type d’article
Il s’agit d’une alerte de sécurité officielle publiée par Oracle, dont le but principal est d’informer les clients de la disponibilité de correctifs critiques et de les inciter à appliquer les mises à jour sans délai.
🧠 TTPs et IOCs détectés
TTP
- T1190 — Exploit Public-Facing Application (Initial Access)
IOC
- CVEs :
CVE-2026-21992
🔗 Source originale : https://www.oracle.com/security-alerts/alert-cve-2026-21992.html