Oracle Identity Managerに致命的な脆弱性(CVE-2026-21992)

セキュリティニュース

投稿日時: 更新日時:

Oracle Identity Managerに致命的な脆弱性(CVE-2026-21992)

Oracleは2026年3月19日、CVE-2026-21992に対するSecurity Alertを公開しました。対象はOracle Identity ManagerとOracle Web Services Managerで、この脆弱性は認証不要でリモートから悪用可能であり、攻撃に成功するとリモートコード実行につながる可能性があるとしています。Oracleは、提供した更新または緩和策をできるだけ早く適用するよう強く推奨しています。

概要

今回のCVE-2026-21992は、Oracle Identity Managerでは REST WebServices、Oracle Web Services Managerでは Web Services Security コンポーネントに影響します。Oracleによると、HTTP経由で認証なしに悪用可能です。OracleはSecurity Alertの中で、成功した場合にリモートコード実行につながる可能性があると明記しています。

脆弱性の対象バージョン

OracleのSecurity Alertで影響対象として明示されているのは、Oracle Identity Managerの 12.2.1.4.0 と 14.1.2.1.0、Oracle Web Services Managerの 12.2.1.4.0 と 14.1.2.1.0 です。いずれも現在サポート対象のバージョンに対して、今回のSecurity Alert経由で修正が提供されています。

また、OracleはPremier SupportまたはExtended Supportの対象外バージョンについては、今回のSecurity Alertで脆弱性有無の検証は行っていないとしつつも、影響を受けるリリースのより古い版も影響を受ける可能性が高いとして、サポート対象版へのアップグレードを推奨しています。

対策

現時点でOracleが一般公開ページ上に 修正版バージョン という形で新しい製品番号を示しているわけではなく、サポート対象の 12.2.1.4.0 と 14.1.2.1.0 に対してSecurity Alert用の修正を適用する構成です。そのため実務上は、対象バージョンを使っているか確認したうえで、Oracleが案内するFusion Middleware向けパッチを適用する流れになります。