CVE-2026-21992 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Oracle Identity Manager (OIM) 存在安全漏洞。 🔥 **后果**:攻击者可通过 HTTP 网络访问利用该漏洞,导致系统面临极高的安全风险,可能引发数据泄露、篡改或服务中断。
Q2根本原因?(CWE/缺陷点)
🔍 **缺陷点**:未明确指定具体 CWE ID。 ⚠️ **核心问题**:源于**未验证的输入/访问控制缺失**,允许未经充分验证的攻击者通过 HTTP 协议触发漏洞。
Q3影响谁?(版本/组件)
🏢 **厂商**:Oracle Corporation。 📦 **受影响产品**: - **Oracle Identity Manager** (版本 12.2.1.4.0, 14.1.2.1.0) - **Oracle Web Services Manager** (版本 12.2.1.4.0, 14.1.2.1.0)
Q4黑客能干啥?(权限/数据)
💀 **权限提升**:CVSS 评分极高 (H/H/H)。 📊 **具体危害**: - **机密性 (C:H)**:敏感身份数据泄露。 - **完整性 (I:H)**:身份配置或数据被篡改。 - **可用性 (A:H)**:服务可能完全不可用。
Q5利用门槛高吗?(认证/配置)
🚪 **利用门槛**:**极低**。 🌐 **网络访问**:AV:N (网络可攻击)。 🔑 **认证要求**:PR:N (无需权限/无需认证)。 👀 **用户交互**:UI:N (无需用户交互)。 ✅ **结论**:远程匿名攻击者即可利用。
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC 状态**:当前数据中 **pocs 为空**。 🕵️ **在野利用**:未提及在野利用情况。 ⚠️ **注意**:虽然无公开 PoC,但鉴于 CVSS 高分和无需认证的特性,风险依然极高。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. 检查是否运行 **Oracle Identity Manager** 或 **Web Services Manager**。 2. 确认版本是否为 **12.2.1.4.0** 或 **14.1.2.1.0**。 3. 扫描 HTTP 接口是否存在未授权访问风险。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**:Oracle 已发布安全公告 (Advisory)。 📅 **发布时间**:2026-03-20。 🔗 **参考链接**:[Oracle Advisory](https://www.oracle.com/security-alerts/alert-cve-2026-21992.html)。 ✅ **建议**:立即查阅官方公告获取补丁信息。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**: 1. **网络隔离**:限制对 OIM/WMS 的 HTTP 访问,仅允许受信任 IP。 2. **WAF 防护**:配置 Web 应用防火墙规则,拦截异常 HTTP 请求。 3. **最小权限**:确保服务账户权限最小化,减少潜在损失。
Q10急不急?(优先级建议)
🔥 **紧急程度**:**极高 (Critical)**。 📈 **CVSS 向量**:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H。 💡 **建议**:由于**无需认证**且**影响全面**,建议作为**最高优先级**处理,尽快应用官方补丁或实施缓解措施。