Vulnerabilidad Crítica en productos Oracle
Oracle dio a conocer una vulnerabilidad crítica que afecta a sus productos Oracle Identity Manager y Oracle Web Services Manager, según su aviso de seguridad publicado el 19 de marzo del presente año. Con una puntuación CVSS de 9.8, la vulnerabilidad identificada como CVE-2026-21992 podría permitir que un atacante no autenticado ejecute código remotamente. Al momento, no se ha observado su explotación activa.
Oracle Identity Manager es una solución que automatiza actividades de administración de identidad y acceso (IAM) tales como creación, modificación y eliminación de usuarios, regeneración de contraseñas, asignación de permisos, etc., por lo que una vulnerabilidad RCE en este producto podría permitir que un atacante realice estas actividades a su conveniencia.
Por otro lado, Oracle Web Services Manager es un framework basado en políticas para proteger los servicios web de una organización.
La vulnerabilidad afecta específicamente los componentes REST WebServices en Oracle Identity Manager y Web Services Security en Oracle Web Services Manager. Un atacante que cuente con acceso a la red podría comprometer completamente estos productos usando el protocolo HTTP, poniendo en riesgo la confidencialidad, integridad y disponibilidad de información.
Aunque no se ha confirmado su explotación, se considera una vulnerabilidad fácil de explotar, por lo que Oracle recomienda actualizar a las versiones corregidas cuanto antes.
Versiones Afectadas
| Productos | Versiones afectadas | Versiones corregidas |
| Oracle Identity Manager | Versión 12.2.1.4.0 | Consultar el Documento de Disponibilidad de Parche en: https://www.oracle.com/security-alerts/alert-cve-2026-21992.html |
| Versión 14.1.2.1.0 | ||
| Oracle Web Services Manager | Versión 12.2.1.4.0 | |
| Versión 14.1.2.1.0 |
Recomendaciones
- Actualizar lo antes posible a nuevas versiones no vulnerables.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto (NIST CSF, 2024).
- Revisar logs para de ejecución de software de acceso remoto (NIST CSF, 2024).
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad (NIST CSF, 2024).
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque (NIST CSF, 2024).
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactorial.
Referencias
- Oracle. (2026, marzo 19). Oracle Security Alert Advisory - CVE-2026-21992. Recuperado el 23 de marzo de 2026, en: https://www.oracle.com/security-alerts/alert-cve-2026-21992.html
- Abrams, L. (2026, marzo 20). Oracle pushes emergency fix for critical Identity Manager RCE flaw. Bleeping Computer. Recuperado el 23 de marzo de 2026, en: https://www.bleepingcomputer.com/news/security/oracle-pushes-emergency-fix-for-critical-identity-manager-rce-flaw/
- Lakshmanan, R. (2026, marzo 21). Oracle Patches Critical CVE-2026-21992 Enabling Unauthenticated RCE in Identity Manager. The Hacker News. Recuperado el 23 de marzo de 2026, en: https://thehackernews.com/2026/03/oracle-patches-critical-cve-2026-21992.html
