つみかさね

CVE-2026-21992

Critical(9.8)

CVE-2026-21992 — Oracle Identity Manager 認証欠如による完全乗っ取り

公開日: 2026-03-22データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Oracle Identity ManagerOracle12.2.1.4.0, 14.1.2.1.0
Oracle Web Services ManagerOracle12.2.1.4.0, 14.1.2.1.0
CVEOracle認証欠如Identity Manager

概要

Oracle Identity ManagerおよびOracle Web Services Managerに、認証メカニズムが欠如した重大な脆弱性が存在します。攻撃者は認証なしのHTTPアクセスにより、対象システムを完全に乗っ取ることが可能です。ID管理基盤が侵害されることで、配下の全システムへの影響が連鎖する恐れがあり、CVSSスコアは9.8(Critical)です。

CVSSベクトル

項目
CVSSスコア9.8 (Critical)
CWECWE-306(認証メカニズムの欠如)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な権限不要
ユーザー操作不要

影響を受けるソフトウェア

  • Oracle Identity Manager(12.2.1.4.0, 14.1.2.1.0)
  • Oracle Web Services Manager(12.2.1.4.0, 14.1.2.1.0)

修正バージョンと回避策

Oracleが公開するセキュリティアラートに従い、修正パッチを適用してください。特にインターネットからアクセス可能な環境では、パッチ適用までの間、WAFによるアクセス制御やネットワークセグメンテーションによる緩和策を検討してください。

関連リンク

データソース: NVD (NIST)

AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

Oracle:https://www.oracle.com/security-alerts/alert-cve-2026-21992.html
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-21992
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。