Bulletins de Sécurité

Vous êtes confronté à un cyber-incident ?

Notre équipe est à votre disposition en 24/7 au 01 85 09 12 35 et par email cert@login-securite.com

Vulnérabilité dans Oracle Identity Manager

Score CVSS :
9.8
Date de publication :
23/3/2026
Date de dernière mise à jour :
23/3/2026
vulnerability icon thumbnail logy cybersecurity

Produits concernés

• Oracle Identity Manager, versions 12.2.1.4.0, 14.1.2.1.0

• Oracle Web Services Manager, versions 12.2.1.4.0, 14.1.2.1.0

Prérequis

• Accès à l’interfaces des produits

Risques

• Exécution de code arbitraire

• Accès au réseau interne de l’entreprise

• Exploitation d’informations d’identifications

• Exfiltration de données sensibles

• Compromission des identités

Résumé

Une vulnérabilité critique de type “Exécution de code” affectant les solutions Identity Manager et Web Services Manager a récemment été publiée par l’éditeur Oracle.

Le niveau de criticité initial de cette vulnérabilité est de 9.8 (score CVSSv3.1).

La solution Identity Manager permet de gérer les identités et les accès des utilisateurs.

- CVE-2026-21992 : Une vulnérabilité dans la solution IAM pourrait permettre à un attaquant distant non authentifié d'exécuter du code arbitraire sur le système d'exploitation sous-jacent. L'attaquant n'a pas besoin d'identifiants valides pour exploiter cette vulnérabilité. Celle-ci concerne un manque de sécurité sur les appels réseaux, les composants HTTP étant impacté et plus précisément, les interfaces REST.

Une fois la vulnérabilité exploitée, l’attaquant aura ainsi accès à l’équipement. Il pourra donc interagir avec celui-ci.

L’exploitation de cette CVE pourrait permettre à l’attaquant une compromission complète du système (exécution de commande).

A l’heure actuelle, aucune trace d’exploitation par des groupes d’attaquants ou d’exploit public n’a été remonté.Étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre pour toute machine exposée sur Internet.

Solutions

Remédiation :

Oracle recommande vivement aux clients d’appliquer les mises à jour ou mesures d’atténuation fournies par cette alerte de sécurité dès que possible ainsi que de rester sur les versions activement prises en charge et d’appliquer sans délai toutes les alertes de sécurité et les correctifs critiques de mise à jour.

Correctifs fournis par Oracle via les patchs du Security Alert pour les versions supportées.

Le détail est disponible dans les liens en références.

Mitigation :

• Restreindre l’accès à l’interface web de la solution.

Références

https://www.oracle.com/security-alerts/alert-cve-2026-21992.html

https://cyberveille.esante.gouv.fr/alertes/oracle-cve-2026-21992-2026-03-20

Restez informés des dernières menaces !

Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.

Merci pour votre inscription !
Oups ! Une erreur est survenue lors de l'envoi du formulaire.
Nos offresNos ExpertisesLe groupe Constellation
Notre équipeNous rejoindreBlog
Urgences CyberInformations SOCCommander un Test d'Intrusion
Conditions Générales de VentesMentions légalesNous contacter
©2024 Login Sécurité | Mentions légales et Politique de confidentialité