Oracle Identity/Web Services の脆弱性 CVE-2026-21992 が FIX:未認証の RCE の恐れ

Oracle Fixes High-Severity RCE Vulnerability Affecting Identity and Web Services Platforms

2026/03/21 gbhackers — Oracle が公開したのは、Oracle Identity Manager および Oracle Web Services Manager に影響を及ぼす深刻なリモート・コード実行 (RCE) の脆弱性に関する緊急セキュリティ・アラートである。この脆弱性 CVE-2026-21992 を悪用する攻撃者は、ユーザー認証を必要とすることなく、リモートからのシステム侵害を可能にする。この脆弱性を抱える Fusion Middleware コンポーネントを利用する組織は、適切な対応を速やかに実施し、システムの乗っ取りを防ぐ必要がある。

脆弱性 CVE-2026-21992 の発見が示唆するのは、この種のエンタープライズ・プラットフォームにおける受信ネットワーク・リクエスト処理の方法に、深刻な欠陥が存在し続けていることである。この脆弱性を悪用する脅威アクターは、事前の認証を必要としないため、特別に細工されたネットワーク・パケットを標的システムへ送信するだけで攻撃を実行できる。攻撃に成功した場合には、ホスト・サーバ上での任意のコード実行が可能となる。

その結果として攻撃者は、マルウェアの展開/機密性の高いアイデンティティ・データの窃取/内部ネットワークへの侵入拡大などを可能にする。

このアドバイザリでは、攻撃者によるリバース・エンジニアリングや悪用を防ぐために、エクスプロイトの詳細手順は意図的に非公開とされているが、提示されたリスク評価が示す影響は深刻なものである。

この脆弱性は、標準的なネットワーク・プロトコル上でトリガーされるため、HTTPS のようなセキュア・プロトコルであっても、パッチを適用するまでの間に悪用されるリスクがある。

影響を受けるソフトウェアとパッチ情報

このセキュリティ更新は、Oracle Fusion Middleware の 2 つの主要製品に対するものである。管理者は導入環境のバージョンを確認し、該当するパッチ・ドキュメントを参照する必要がある。

  • Oracle Identity Manager:影響を受けるバージョンは 12.2.1.4.0/14.1.2.1.0 であり、Fusion Middleware ドキュメント (KB878741) に従い修正する必要がある。
  • Oracle Web Services Manager:影響を受けるバージョンは 12.2.1.4.0/14.1.2.1.0 であり、同様に Fusion Middleware ドキュメント (KB878741) を参照する必要がある。

Oracle は、Lifetime Support Policy における Premier Support または Extended Support の対象バージョンのみを、テストの対象とし、パッチを提供している。これらのサポート範囲外のバージョンについては、この脆弱性に関する検証は実施されていない。

ただし Oracle は、影響を受ける旧バージョンにおいても、同様の根本的な欠陥が存在する可能性が高いと警告している。サポート終了 (EOL) バージョンを利用する組織は、サポート対象バージョンへとアップグレードし、脅威を軽減する必要がある。

Fusion Middleware の運用管理者は、Software Error Correction Support Policy に従い、更新プロセス中におけるシステム安定性を確保する必要がある。Advanced Persistent Threat (APT) は Oracle のアドバイザリを継続的に監視し、新たなエクスプロイト・チェーンを構築する傾向があるため、この脆弱性に対する唯一の防御策はパッチの即時適用である。

ユーザー組織は、これらのアップグレードを最優先の事項とし、ID 管理インフラ全体のセキュリティを維持する必要がある。

この脆弱性 CVE-2026-21992 は、 Oracle のエンタープライズ・プラットフォームが受信する、ネットワーク・リクエストの処理方法の深刻な欠陥に起因します。 本来であれば、厳重に管理されるべきリクエストの処理工程に不備が存在し、 攻撃者が特別に細工したパケットを送信するだけで、 認証を経ることなくシステム内部への侵入を許してしまいます。 このような処理の脆さが、 遠隔から任意のコードを実行されるという重大な事態を招きました。 ご利用のチームは、ご注意ください。よろしければ、Oracle での検索結果も、ご参照ください。