کمیته رکن چهارم – اوراکل با انتشار بهروزرسانیهای امنیتی جدید، یک آسیبپذیری بحرانی در محصولات Oracle Identity Manager و Oracle Web Services Manager را برطرف کرده است که میتواند به اجرای کد از راه دور منجر شود.
به گزارش کمیته رکن چهارم، این آسیبپذیری با شناسه CVE-2026-21992 ثبت شده و امتیاز شدت ۹.۸ از ۱۰ دریافت کرده است. طبق اعلام اوراکل، این نقص بدون نیاز به احراز هویت و از طریق شبکه قابل سوءاستفاده بوده و مهاجمان میتوانند از طریق دسترسی HTTP سیستمهای هدف را مورد حمله قرار دهند.
بر اساس اطلاعات منتشرشده، نسخههای ۱۲٫۲٫۱٫۴٫۰ و ۱۴٫۱٫۲٫۱٫۰ از هر دو محصول Oracle Identity Manager و Oracle Web Services Manager تحت تأثیر این آسیبپذیری قرار دارند.
در صورت بهرهبرداری موفق، مهاجم قادر خواهد بود کنترل کامل سامانه را به دست گرفته، به دادههای حساس دسترسی پیدا کند و دستورات مخرب را روی سرور اجرا کند.
طبق ارزیابی پایگاه داده ملی آسیبپذیریها (NVD)، این نقص «بهراحتی قابل بهرهبرداری» است و همین موضوع سطح خطر آن را افزایش میدهد، بهویژه در محیطهایی که این سرویسها در معرض شبکه قرار دارند.
اوراکل در حال حاضر اشارهای به سوءاستفاده فعال از این آسیبپذیری در حملات واقعی نکرده، اما به کاربران توصیه کرده است که در سریعترین زمان ممکن بهروزرسانیهای امنیتی را اعمال کنند.
پیشزمینه
این هشدار در شرایطی منتشر شده که پیشتر نیز یک آسیبپذیری بحرانی دیگر در Oracle Identity Manager با شناسه CVE-2025-61757 در November 2025 بهعنوان موردی با بهرهبرداری فعال گزارش شده بود.
کارشناسان معتقدند تکرار چنین آسیبپذیریهایی نشان میدهد سامانههای مدیریت هویت، بهعنوان بخشهای حساس زیرساختی، بهطور مداوم هدف مهاجمان قرار دارند و بهروزرسانی سریع آنها نقش مهمی در کاهش ریسکهای امنیتی دارد.
منبع: The Hacker News
