# CVE-2026-21992 - Oracle Identity Manager RCE Pré-Autenticado (CVSS 9.8) > [!critical] CVSS 9.8 - Crítico - RCE Pré-Auth em Oracle IAM > Execução remota de código sem autenticação (CWE-306) no componente REST WebServices do **Oracle Identity Manager** e **Oracle Web Services Manager** (versões 12.2.1.4.0 e 14.1.2.1.0). Classificada como "facilmente explorável" pela Oracle. Patch de emergência out-of-band lançado em fevereiro de 2026. ## Visão Geral CVE-2026-21992 é uma vulnerabilidade de **execução remota de código pré-autenticada** (RCE pré-auth) classificada como CWE-306 (Missing Authentication for Critical Function) no componente REST WebServices do [[_oracle|Oracle]] Identity Manager e no componente Web Services Security do Oracle Web Services Manager, ambos integrantes do Oracle Fusion Middleware. A falha foi descoberta pelos pesquisadores Adam Kues e Shubham Shah da Assetnote e recebeu classificação "Easily Exploitable" pela própria Oracle - indicando que um atacante com acesso de rede via HTTP pode comprometer completamente os sistemas afetados enviando requisições maliciosas ao endpoint REST exposto, sem nenhuma credencial prévia. O Oracle Identity Manager é um sistema centralizado de gestão de identidade e acesso (IAM) que controla autenticação e autorização em toda a organização. Seu comprometimento representa impacto em cascata: credenciais corporativas expostas, Active Directory/LDAP acessível, contas privilegiadas criadas livremente e todos os sistemas integrados ao IAM comprometidos de forma derivada. A urgência é amplificada pela relação com [[cve-2025-61757|CVE-2025-61757]], vulnerabilidade no mesmo componente que já foi explorada ativamente como zero-day. As TTPs relevantes incluem [[t1190-exploit-public-facing-application|T1190]], [[t1078-valid-accounts|T1078]] e [[t1098-account-manipulation|T1098]]. > [!latam] Relevância LATAM > O Oracle Fusion Middleware tem presença expressiva em grandes empresas brasileiras dos setores bancário, industrial e governo. A exploração de um sistema IAM Oracle em ambiente corporativo pode resultar em comprometimento massivo de identidades, movimentação lateral irrestrita e exfiltração em escala. Organizações que ainda não aplicaram o patch de emergência de fevereiro de 2026 permanecem em risco crítico imediato. ## Resumo Técnico ```mermaid graph TB A["🔍 CVE-2026-21992 · CVSS 9.8<br/>Oracle Identity Manager RCE"] --> B["🎯 Localizar Endpoint REST<br/>Oracle IDM/WSM exposto<br/>HTTP acessível externamente"] B --> C["💥 Exploit pré-autenticado<br/>Requisição HTTP maliciosa<br/>componente REST WebServices"] C --> D["🔧 RCE no Middleware<br/>Oracle Fusion Middleware<br/>comprometido sem credenciais"] D --> E["🔧 Acesso ao IAM Corporativo<br/>Gestão de identidades<br/>políticas de acesso alteradas"] E --> F["💀 Comprometimento de Identidades<br/>Contas privilegiadas criadas<br/>acesso persistente irrestrito"] classDef critical fill:#c92a2a,stroke:#c92a2a,color:#fff classDef exploit fill:#e67700,stroke:#e67700,color:#fff classDef postexploit fill:#495057,stroke:#343a40,color:#fff classDef impact fill:#1864ab,stroke:#1864ab,color:#fff class A critical class B,C exploit class D,E postexploit class F impact ``` **CVE-2026-21992** é uma vulnerabilidade crítica de **execução remota de código sem autenticação** (RCE pré-auth) no componente **REST WebServices** do **[[Oracle Identity Manager]]** e no componente **Web Services Security** do **[[Oracle Web Services Manager]]**, ambos parte do Oracle Fusion Middleware. A falha foi classificada como "facilmente explorável" pela Oracle - um atacante com acesso de rede via HTTP pode comprometer completamente os sistemas afetados sem necessidade de credenciais ou interação de usuário. A vulnerabilidade foi descoberta pelos pesquisadores Adam Kues e Shubham Shah da Assetnote. **Pontuação de risco:** - CVSS v3.1: **9.8** (Crítico) - Vetor: `AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H` - Classificação Oracle: "Easily Exploitable" - Patch: **out-of-band emergency** lançado em fevereiro de 2026 > [!warning] A CVE relacionada **[[cve-2025-61757|CVE-2025-61757]]**, no mesmo componente, já foi explorada ativamente como zero-day. A urgência de patch para CVE-2026-21992 é máxima. ## Exploração A vulnerabilidade explora ausência de verificação de autenticação em endpoint crítico (CWE-306 - Missing Authentication for Critical Function) do Oracle Identity Manager. Um atacante não autenticado pode enviar requisições HTTP especialmente construídas ao endpoint REST exposto para acionar execução de código no servidor. **Características:** - **Vetor:** HTTP/HTTPS - acessível remotamente - **Privilégios necessários:** nenhum - **Interação do usuário:** nenhuma - **Complexidade de ataque:** baixa **Contexto de exposição:** O Oracle Identity Manager é tipicamente implantado como sistema de gerenciamento de identidade e acesso (IAM) centralizado. A interface REST é frequentemente exposta a redes internas e, em alguns casos, à internet para integrações com aplicações externas. Embora não haja exploração selvagem confirmada no momento desta análise, a natureza pré-autenticada da falha e a pontuação CVSS 9.8 indicam risco iminente de exploração após divulgação pública. ## Impacto - **Comprometimento total do servidor IAM:** o Oracle Identity Manager controla autenticação e autorização de usuários em toda a organização - **Acesso a credenciais corporativas:** banco de dados de usuários, políticas de acesso, integrações com Active Directory/LDAP - **Execução de código remoto:** possibilidade de instalar implantes, criar backdoors administrativos - **Efeito cascata:** comprometimento do IAM pode escalar para comprometimento de todos os sistemas integrados **Produtos afetados:** | Produto | Versão Afetada | |---------|---------------| | Oracle Identity Manager | 12.2.1.4.0 | | Oracle Identity Manager | 14.1.2.1.0 | | Oracle Web Services Manager | 12.2.1.4.0 | | Oracle Web Services Manager | 14.1.2.1.0 | **Impacto LATAM/Brasil:** Oracle Fusion Middleware tem presença significativa em grandes empresas brasileiras dos setores bancário, industrial e governo. Um IAM comprometido representa risco de movimentação lateral e exfiltração em escala corporativa. ## Mitigação **Patch de emergência Oracle:** - Aplicar o patch out-of-band lançado em fevereiro de 2026 - Referência: [Oracle Security Alert CVE-2026-21992](https://www.oracle.com/security-alerts/) - O patch foi disponibilizado fora do ciclo normal de CPU (Critical Patch Update) dado a criticidade **Mitigações enquanto patch não aplicado:** - Restringir acesso ao endpoint REST do Oracle Identity Manager por firewall/WAF - Implementar autenticação adicional (proxy reverso com auth) na frente da interface REST - Monitorar logs de acesso para requisições anômalas ao endpoint REST - Revisar acessos privilegiados e contas de serviço no IAM ## Notas Relacionadas **CVE relacionado (mesmo componente, explorado ativamente):** [[cve-2025-61757|CVE-2025-61757]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] · [[t1098-account-manipulation|T1098 - Account Manipulation]] **Setores em risco:** [[financial]] · [[government]] · [[indústria]] · [[technology]] **Produto:** [[Oracle Identity Manager]] · [[Oracle Web Services Manager]]