O Oracle publicou atualizações de segurança para corrigir uma vulnerabilidade crítica que afeta dois dos seus produtos de gestão de identidade e serviços web. A falha, identificada como CVE-2026-21992, tem uma pontuação CVSS muito alta (9.8/10) e, segundo o fabricante, pode ser aproveitada de forma remota sem necessidade de autenticação, o que a torna uma ameaça prioritária para qualquer organização que utilize esses componentes.
Os produtos afetados são Oracle Identity Manager e Oracle Web Services Manager nas versões 12.2.1.4.0 e 14.1.2.1.0. O Oracle publicou um aviso técnico com os adesivos e as instruções para a sua implantação; convém rever esse boletim e aplicá-los com a maior celeridade possível. Você pode consultar o comunicado oficial do Oracle em sua página de alertas de segurança: Alert CVE-2026-21992 — Oracle e no blog de segurança da empresa: Oracle Security Blog.
O registo da vulnerabilidade na base de dados do NIST fornece uma descrição técnica e enfatiza a sua facilidade de exploração: um atacante com acesso à rede através de HTTP poderia desencadear execução remota de código em instâncias vulneráveis. Para mais detalhes técnicos e contexto, a entrada no NVD está disponível aqui: NVD — CVE-2026-21992.
O Oracle não informou publicamente casos confirmados de exploração em ambientes de produção por essa vulnerabilidade, mas a própria natureza pré-autenticada e a elevada pontuação de risco fazem com que a advertência de aplicar os adesivos seja urgente. Na prática, quando uma falha permite execução remota sem credenciais, as consequências podem ir desde a escalada de privilégios e o roubo de dados até a tomada completa do sistema em causa.
Este episódio lembra que, há alguns meses, a Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA (CISA) incorporou ao seu catálogo de vulnerabilidades conhecidas por exploração ativa outra falha no Oracle Identity Manager, registrada como CVE-2025-61757, que também tinha pontuação crítica e evidências de exploração em ambientes reais. A inclusão no catálogo de CISA obriga muitas entidades a priorizar sua mitigação; você pode consultar o catálogo geral de vulnerabilidades conhecidas exploradas na página seguinte: CISA — Known Exploited Vulnerabilities Catalog e a entrada histórica na NVD para CVE-2025-61757 em NVD — CVE-2025-61757.
Para os equipamentos de segurança e administradores, a recomendação imediata é dupla: aplicar os adesivos oficiais o mais rapidamente possível e, entretanto, minimizar a exposição das instâncias afetadas. Isso inclui restringir o acesso através de controles de rede, colocar servidores atrás de firewalls ou listas brancas de IP, e monitorar os registros de acesso em busca de atividade anómala que possa indicar tentativas de exploração.
Para além do adesivo pontual, é conveniente aproveitar a ocasião para rever os processos de gestão de vulnerabilidades: manter o inventário atualizado de software, testar atualizações em ambientes de pré-produção, automatizar implantaçãos quando viável e dispor de cópias de segurança verificadas. Se você quer uma referência sobre boas práticas em gestão de adesivos e vulnerabilidades, o NIST oferece guias práticas: NIST SP 800-40 Revision 3.
Do ponto de vista empresarial, a cautela manda: embora não haja evidência pública de exploração, a combinação de acesso em rede, ausência de requisitos de autenticação e nota técnica com CVSS 9.8 obriga a priorizar a ação. Além disso, as organizações devem coordenar a aplicação de atualizações com janelas de manutenção, verificação de compatibilidade e comunicação com as equipes de negócio para minimizar impacto operacional.
Finalmente, se você administra ou depende do Oracle Identity Manager ou Web Services Manager, toma essas medidas imediatamente e documenta cada passo. Regista as versões afetadas, valida as atualizações em ambientes controlados e monitora os sinais de tentativa de intrusão. A cibersegurança é, em muitos casos, uma corrida contra o tempo: agir logo reduz muito o risco de sofrer um incidente maior.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...