Oracle推送緊急更新,修補Identity Manager重大漏洞
漏洞簡介
Oracle於上週末發布緊急安全更新,修補Oracle Identity Manager與Web Services Manager中的嚴重遠端程式碼執行(RCE)漏洞CVE-2026-21992。該漏洞允許未經身份驗證的遠端攻擊者執行惡意程式碼,對系統安全構成重大威脅。
漏洞影響範圍
此漏洞影響廣泛部署的Oracle Fusion Middleware組件,特別是Oracle Identity Manager與Web Services Manager,可能導致系統被未經授權接管。
安全風險與利用狀況
- 漏洞編號CVE-2025-61757,評分高達9.8分,屬於嚴重級別。
- 根據SANS與CISA警告,該漏洞在Oracle發布修補前已遭零時差攻擊利用,攻擊者無需身份驗證即可執行遠端程式碼。
- 美國網路安全暨基礎設施安全局(CISA)已將此漏洞納入「已知被利用漏洞(KEV)」清單,並證實其在野利用活動正在快速擴散。
修補建議
1:建議用戶立即升級至Oracle官方最新版本以修補漏洞。
2:透過安全組設定,限制對Identity Manager相關端口的存取,降低攻擊面。
3:可使用專門開發的自動化掃描工具(如GitHub上公開的CVE-2025-61757檢測工具)進行系統漏洞檢測與風險評估。
相關資源
Oracle 緊急發佈安全更新,修復Identity Manager 和Web Services …
身分驗證管理平臺Oracle Identity Manager重大漏洞傳出在修補前疑似 …
嚴重Oracle Identity Manager 遠程代碼執行漏洞(CVE-2025-61757)
美國CISA警告:Oracle身分管理系統重大漏洞遭零時差攻擊利用
關於Oracle Identity Manager遠程代碼執行漏洞(CVE-2025-61757 …
Oracle推送緊急更新,修補Identity Manager重大漏洞
GitHub – Jinxia62/Oracle-Identity-Manager-CVE-2025-61757
Oracle Identity Manager遠程代碼執行漏洞(CVE-2025-61757) 風險通告
Oracle Fusion 重大零日遭武器化,CISA 示警攻擊正快速擴散- 竣盟科技
甲骨文產品多個漏洞