Oracle ออกแพตช์อัปเดตความปลอดภัยนอกรอบเพื่อแก้ไขช่องโหว่ระดับ Critical ที่ทำให้มีการการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลโดยไม่ได้รับอนุญาตในระบบ Identity Manager และ Web Services Manager ซึ่งมีหมายเลข CVE-2026-21992
Oracle Identity Manager ใช้สำหรับจัดการข้อมูล Credentials และการเข้าถึงทรัพยากรต่าง ๆ ทั่วทั้งองค์กร ในขณะที่ Oracle Web Services Manager ให้การควบคุมด้านความปลอดภัย และการบริหารจัดการสำหรับบริการเว็บ
ในประกาศแจ้งเตือนที่เผยแพร่เมื่อวันที่ 19 มีนาคม 2026 Oracle แนะนำอย่างเคร่งครัดให้ลูกค้าทำการติดตั้งแพตช์โดยเร็วที่สุด
ตามที่ระบุในประกาศแจ้งเตือน "ประกาศแจ้งเตือนด้านความปลอดภัยนี้ระบุช่องโหว่หมายเลข CVE-2026-21992 ใน Oracle Identity Manager และ Oracle Web Services Manager โดยช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลได้โดยไม่ต้องมีการยืนยันตัวตน ซึ่งหากโจมตีสำเร็จ อาจส่งผลให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้"
"Oracle ขอแนะนำอย่างยิ่งให้ลูกค้าทำการติดตั้งอัปเดต หรือมาตรการลดความเสี่ยงที่ระบุไว้ในประกาศแจ้งเตือนความปลอดภัยนี้โดยเร็วที่สุด Oracle แนะนำเสมอให้ลูกค้าใช้งานเวอร์ชันที่ได้รับการสนับสนุนอย่างต่อเนื่อง และติดตั้งประกาศแจ้งเตือนความปลอดภัย รวมถึงอัปเดตแพตช์รอบปกติทั้งหมดโดยทันที"
ช่องโหว่ CVE-2026-21992 มีคะแนนความรุนแรงตามมาตรฐาน CVSS v3.1 อยู่ที่ 9.8 และส่งผลกระทบต่อ Oracle Identity Manager เวอร์ชัน 12.2.1.4.0 และ 14.1.2.1.0 รวมถึง Oracle Web Services Manager เวอร์ชัน 12.2.1.4.0 และ 14.1.2.1.0 เช่นกัน
Oracle ระบุว่าช่องโหว่นี้มีความซับซ้อนในการโจมตีต่ำ สามารถโจมตีจากระยะไกลผ่าน HTTP โดยไม่จำเป็นต้องใช้การยืนยันตัวตน หรือการโต้ตอบจากผู้ใช้งาน ซึ่งเพิ่มความเสี่ยงในการถูกโจมตีบนเซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ต
การแก้ไขดังกล่าวถูกเผยแพร่ผ่านโปรแกรมการแจ้งเตือนความปลอดภัยของ Oracle ซึ่งเป็นโปรแกรมที่ให้การแก้ไข หรือการลดผลกระทบที่อยู่นอกเหนือกำหนดการปกติสำหรับช่องโหว่ระดับ Critical หรือที่กำลังถูกโจมตีอย่างต่อเนื่อง
อย่างไรก็ตาม Oracle ระบุว่าแพตช์ที่เผยแพร่ผ่านโปรแกรมเหล่านี้จะใช้ได้เฉพาะกับเวอร์ชันที่อยู่ภายใต้การสนับสนุนระดับ Premier หรือ Extended Support เท่านั้น ส่วนเวอร์ชันเก่าที่ไม่ได้รับการสนับสนุนแล้วอาจยังมีช่องโหว่ และมีความเสี่ยงในการตกเป็นเป้าหมายได้
Oracle ยังไม่ได้เปิดเผยว่าช่องโหว่นี้ถูกนำไปใช้ในการโจมตีแล้วหรือไม่
ในบทความบล็อกที่เผยแพร่ในวันนี้ Oracle ได้เน้นย้ำถึงความรุนแรงของช่องโหว่ CVE-2026-21992 อีกครั้ง และเตือนลูกค้าให้ตรวจสอบการแจ้งเตือนด้านความปลอดภัยเพื่อดูรายละเอียด และข้อมูลการติดตั้งแพตช์ทั้งหมด
ที่มา : bleepingcomputer
You must be logged in to post a comment.