A Oracle liberou uma atualização emergencial para corrigir a CVE-2026-21992, falha crítica de execução remota de código que afeta o Oracle Identity Manager e o Oracle Web Services Manager, dois componentes do Fusion Middleware.
O alerta foi publicado fora do ciclo trimestral normal de patches, sinal de que a empresa tratou o caso como prioridade imediata.
A vulnerabilidade recebeu CVSS 9,8 e pode ser explorada sem autenticação, com acesso remoto pela rede via HTTP.
Segundo a Oracle, uma exploração bem-sucedida pode levar ao comprometimento completo dos sistemas afetados, com impacto sobre confidencialidade, integridade e disponibilidade.
O problema atinge as versões 12.2.1.4.0 e 14.1.2.1.0 do Identity Manager e do Web Services Manager.
No caso do primeiro, a falha está no componente REST WebServices; no segundo, no componente Web Services Security.
A Oracle orientou clientes a aplicar imediatamente as correções ou mitigações disponíveis.
O modelo usado foi o de Security Alert, reservado para vulnerabilidades urgentes que não podem esperar o próximo Critical Patch Update.
Outro ponto relevante é que os patches desse programa só são fornecidos para versões cobertas pelas políticas de suporte da fabricante.
Isso aumenta a pressão sobre empresas que ainda mantêm ambientes legados ou fora de suporte oficial.
