今年1月，Oracle发布2026年第一季例行安全更新（Critical Patch Update），修复了158个安全漏洞，其中包含13个CVSS风险评分超过9.0的重大漏洞，引发广泛关注。上周末，Oracle罕见发布紧急补丁更新，再度成为安全领域的焦点。

3月20日，Oracle发布安全警告，指出身份认证平台Identity Manager与网络服务管理平台Web Services Manager中存在CVSS评分高达9.8（满分10分）的重大漏洞CVE-2026-21992。攻击者一旦成功利用，即可远程执行任意代码（RCE），并呼吁用户根据安全公告立即采取应对措施。

该漏洞影响上述系统的12.2.1.4.0和14.1.2.1.0版本，原因是Identity Manager的REST WebServices组件，以及Web Services Manager的Web Services Security组件存在安全缺陷。Oracle未在公告中披露具体技术细节。根据美国国家漏洞数据库（NVD）的记录，该漏洞极易被利用，未经身份验证的攻击者可通过HTTP连接远程访问存在漏洞的系统，成功利用后将导致系统被完全控制。

值得注意的是，尽管Oracle未明确说明该漏洞是否已被实际利用，但其过去发布的Identity Manager相关漏洞曾被发现已在攻击活动中被利用。安全研究机构SANS指出，去年10月修复的CVE-2025-61757漏洞，早在8月底至9月初就已被攻击者尝试利用。