概要
Oracleは2026年3月、Oracle Identity ManagerおよびOracle Web Services Managerに影響する深刻な脆弱性CVE-2026-21992を修正するセキュリティアップデートをリリースした。この脆弱性はCVSSスコア9.8(Critical)と評価されており、認証なしでHTTP経由からリモートコード実行(RCE)が可能なため、特にインターネットに公開されたインスタンスでは危険度が極めて高い。Oracleは現時点での野生での悪用(in-the-wild exploitation)は確認されていないとしながらも、ユーザーに対して即時のパッチ適用を強く推奨している。
技術的な詳細
CVE-2026-21992は、ネットワーク経由のHTTPリクエストを利用して悪用される脆弱性であり、事前の認証や特権、ユーザー操作をいっさい必要としない。攻撃者はネットワークアクセスさえ確保できれば、対象システムを完全に侵害・乗っ取ることが可能だ。
影響を受けるバージョンは以下の通り:
- Oracle Identity Manager 12.2.1.4.0
- Oracle Identity Manager 14.1.2.1.0
- Oracle Web Services Manager 12.2.1.4.0
- Oracle Web Services Manager 14.1.2.1.0
修正はOracleが提供する公式セキュリティアドバイザリに従ってパッチを適用することで対処できる。
背景と継続するリスク
Oracle Identity Managerは以前にも同様の脆弱性が問題となっており、2025年11月には同製品に影響するCVSSスコア9.8の脆弱性CVE-2025-61757がCISAによって野生での積極的な悪用が記録されていた。今回のCVE-2026-21992はその後継となる深刻な脆弱性であり、同製品が継続的な攻撃ターゲットとなっていることを示している。
過去の悪用事例を踏まえると、現時点で悪用が確認されていないとはいえ、パッチ未適用の環境はランサムウェアや不正アクセスのリスクに晒される可能性が高い。セキュリティチームは優先的にパッチ適用状況を確認し、インターネットに露出したOracle Identity Managerのインスタンスがある場合は特に緊急対応が求められる。