Oracle ha emitido una actualización de seguridad fuera del ciclo habitual para corregir CVE-2026-21992, una vulnerabilidad clasificada como crítica (puntuación CVSS v3.1 9.8) que permitiría ejecución remota de código (RCE) sin necesidad de autenticación.Según la información publicada, el fallo puede explotarse de forma remota a través de HTTP, con baja complejidad, y sin requerir interacción del usuario, lo que incrementa de forma significativa el riesgo en despliegues accesibles desde Internet.El problema afecta a componentes habituales en arquitecturas de identidad y middleware, concretamente Oracle Identity Manager y Oracle Web Services Manager, en versiones 12.2.1.4.0 y 14.1.2.1.0. Estos productos suelen estar integrados en flujos de autenticación, provisión de identidades, control de accesos y orquestación de servicios, por lo que una compromisión puede tener efectos en cascada: desde el control del servidor afectado hasta la alteración de procesos de gestión de cuentas, credenciales y políticas asociadas a múltiples aplicaciones corporativas.En este tipo de vulnerabilidades, la combinación de ‘remota’, ‘sin autenticación’ y ‘sobre HTTP’ suele traducirse en una ventana de exposición muy sensible: basta con que el servicio esté accesible y mal parcheado para que un atacante pueda intentar automatizar la explotación a escala. Por ello, Oracle ‘recomienda encarecidamente’ aplicar las actualizaciones o mitigaciones indicadas en su Security Alert con la máxima prioridad, dando preferencia a los sistemas publicados a Internet o ubicados en zonas con tránsito elevado (por ejemplo, DMZ o redes compartidas con terceros).Un aspecto relevante es el alcance del programa de Security Alert: las correcciones se proporcionan para versiones bajo Premier Support o Extended Support. Esto implica que organizaciones que mantengan ediciones antiguas sin soporte podrían no disponer de un arreglo oficial y, en consecuencia, podrían permanecer vulnerables incluso tras el anuncio. En la práctica, esto convierte el inventario de versiones y el estado de soporte en una tarea urgente: localizar instancias de Oracle Identity Manager y Oracle Web Services Manager, confirmar su versión exacta, revisar dependencias y planificar actualizaciones si se está fuera de soporte.Por el momento, según el artículo, Oracle no ha confirmado si existe explotación activa y habría declinado comentarlo cuando se le preguntó. Aun así, tratándose de una RCE crítica en software de identidad, la respuesta recomendada es tratarlo como una emergencia operativa: parchear o mitigar, reducir exposición de HTTP cuando sea posible, y reforzar la monitorización de indicadores de compromiso en los sistemas afectados mientras se completa el despliegue de la corrección.Más informaciónBleepingComputer: https://www.bleepingcomputer.com/news/security/oracle-pushes-emergency-fix-for-critical-identity-manager-rce-flaw/La entrada Oracle lanza un parche urgente por una RCE crítica sin autenticación en Identity Manager se publicó primero en Una Al Día.