Oracle ជួសជុលកំហុសឆ្គង RCE ដ៏សំខាន់នៅក្នុងកម្មវិធីគ្រប់គ្រងអត្តសញ្ញាណ និងសេវាកម្មគេហទំព័រ

Oracle បានចេញផ្សាយការអាប់ដេតសុវត្ថិភាពដើម្បីដោះស្រាយកំហុសសុវត្ថិភាពដ៏សំខាន់មួយដែលប៉ះពាល់ដល់ Identity Manager និង Web Services Manager ដែលអាចត្រូវបានគេកេងប្រវ័ញ្ចដើម្បីសម្រេចបាននូវការប្រតិបត្តិកូដពីចម្ងាយ។

ចំណុចខ្សោយនេះ ដែលត្រូវបានតាមដានថាជា CVE-2026-21992 មានពិន្ទុ CVSS 9.8 ក្នុងចំណោមអតិបរមា 10.0។

Oracle បាននិយាយនៅក្នុងសេចក្តីណែនាំមួយថា "ចំណុចខ្សោយនេះអាចកេងប្រវ័ញ្ចពីចម្ងាយដោយមិនចាំបាច់ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ"។ "ប្រសិនបើកេងប្រវ័ញ្ចដោយជោគជ័យ ចំណុចខ្សោយនេះអាចបណ្តាលឱ្យមានការប្រតិបត្តិកូដពីចម្ងាយ"។

CVE-2026-21992 ប៉ះពាល់ដល់កំណែដូចខាងក្រោម -

-Oracle Identity Manager កំណែ 12.2.1.4.0 និង 14.1.2.1.0

-Oracle Web Services Manager កំណែ 12.2.1.4.0 និង 14.1.2.1.0

យោងតាមការពិពណ៌នាអំពីចំណុចខ្វះខាតនៅក្នុងមូលដ្ឋានទិន្នន័យភាពងាយរងគ្រោះជាតិ NIST (NVD) វា "ងាយរងគ្រោះ" ហើយអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលមិនបានផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដែលមានការចូលប្រើបណ្តាញតាមរយៈ HTTP ធ្វើឱ្យ Oracle Identity Manager និង Oracle Web Services Manager ចុះខ្សោយ។ នេះអាចនាំឱ្យមានការកាន់កាប់ដោយជោគជ័យនៃឧទាហរណ៍ងាយរងគ្រោះ។

Oracle មិនបានលើកឡើងពីចំណុចខ្សោយដែលកំពុងត្រូវបានកេងប្រវ័ញ្ចនៅក្នុងធម្មជាតិនោះទេ។ ទោះជាយ៉ាងណាក៏ដោយ ក្រុមហ៊ុនបច្ចេកវិទ្យាយក្សនេះបានជំរុញឱ្យអតិថិជនអនុវត្តការអាប់ដេតដោយមិនបង្អង់យូរសម្រាប់ការការពារដ៏ល្អប្រសើរ។

នៅក្នុងខែវិច្ឆិកា ឆ្នាំ២០២៥ ទីភ្នាក់ងារសន្តិសុខហេដ្ឋារចនាសម្ព័ន្ធ និងសន្តិសុខតាមអ៊ីនធឺណិតរបស់សហរដ្ឋអាមេរិក (CISA) បានបន្ថែម CVE-2025-61757 (ពិន្ទុ CVSS៖ ៩.៨) ដែលជាកំហុសប្រតិបត្តិកូដពីចម្ងាយដែលបានផ្ទៀងផ្ទាត់ជាមុន ដែលប៉ះពាល់ដល់ Oracle Identity Manager ទៅក្នុងកាតាឡុក Known Exploited Vulnerabilities (KEV) ដោយលើកឡើងពីភស្តុតាងនៃការកេងប្រវ័ញ្ចសកម្ម។