HackerNews 编译,转载请注明出处:
甲骨文发布了安全更新,以修复影响身份管理器(Identity Manager)和 Web 服务管理器(Web Services Manager)的一个严重安全漏洞,该漏洞可能被利用来实现远程代码执行。
此漏洞编号为 CVE – 2026 – 21992,在满分 10.0 的通用漏洞评分系统(CVSS)中得分 9.8。
甲骨文在一份安全公告中表示:“该漏洞无需身份验证即可远程利用。若成功利用,此漏洞可能导致远程代码执行。”
受 CVE – 2026 – 21992 影响的版本如下:
- 甲骨文身份管理器 12.2.1.4.0 版和 14.1.2.1.0 版
- 甲骨文 Web 服务管理器 12.2.1.4.0 版和 14.1.2.1.0 版
根据美国国家标准与技术研究院(NIST)国家漏洞数据库(NVD)对该漏洞的描述,它 “极易被利用”,未经身份验证的攻击者通过 HTTP 获得网络访问权限后,可借此危害甲骨文身份管理器和甲骨文 Web 服务管理器,进而成功控制易受攻击的实例。
甲骨文并未提及该漏洞在现实中已被利用的情况。然而,这家科技巨头敦促客户立即应用更新,以获得最佳保护。
2025 年 11 月,美国网络安全与基础设施安全局(CISA)将 CVE – 2025 – 61757(CVSS 评分:9.8)添加到已知被利用漏洞(KEV)目录中,该漏洞是一个影响甲骨文身份管理器的预认证远程代码执行漏洞,CISA 称有证据表明它已被主动利用。
消息来源:thehackernews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文