Vulnerabilidades críticas en Oracle 2026

Vulnerabilidad crítica - 28/01

Introducción

CVE-2026-21962 es una vulnerabilidad crítica de ejecución remota sin autenticación que afecta a componentes ampliamente usados en infraestructuras empresariales basadas en Oracle.

Análisis

CVE-2026-21962 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N - 10

El error de CVE-2026-21962 está en la validación de entrada de las solicitudes HTTP que pasan por el proxy plug‑in. Si las rutas, cabeceras o parámetros no se verifican correctamente, un atacante puede manipular cómo se enruta internamente una solicitud, forzar que el proxy procese datos como si fueran legítimos o conseguir que el backend reciba o ejecute acciones no autorizadas. Este tipo de fallos de validación en componentes que controlan el enrutamiento de tráfico, pueden permitir desde acceso a datos confidenciales hasta elevación de privilegios e instalación de cargas maliciosas en sistemas complementarios.

Versiones afectadas

La vulnerabilidad está presente en Oracle HTTP Server y en el Weblogic Server Proxy Plug‑in para Apache HTTP Server e IIS en varias versiones específicas (12.2.1.4.0, 14.1.1.0.0 y 14.1.2.0.0).

Recomendaciones

• Aplicar los parches oficiales de Oracle
• Actualizar a versiones no vulnerables de Oracle HTTP Server y WebLogic Server Proxy Plug‑in
• Restringir el acceso de red a los puertos HTTP si no es necesario exponerlos públicamente
• Usar Web Application Firewalls (WAF) y reglas de filtrado para bloquear patrones de solicitud maliciosa

Workarounds

En el caso de ataques que requieren ciertos privilegios o acceso a paquetes, eliminar los privilegios o la capacidad de acceso a los paquetes a los usuarios que no los necesitan puede ayudar a reducir el riesgo de un ataque exitoso.

Referencias

• https://www.oracle.com/security-alerts/cpujan2026.html
• https://ccb.belgium.be/advisories/warning-multiple-vulnerabilities-oracle-products-patch-immediately
• https://ciberseguridad.euskadi.eus/noticia/2026/actualizacion-de-seguridad-trimestral-de-oracle-enero-2026/webcyb00-contcibglos/es/
• https://arcticwolf.com/resources/blog/cve-2026-21962/

Vulnerabilidad crítica - 22/03

Introducción

CVE-2026-21992 es una falla crítica de seguridad identificada en productos de Oracle Corporation, concretamente en Oracle Fusion Middleware, afectando a componentes como Oracle Identity Manager y Oracle Web Services Manager. Esta vulnerabilidad permite la ejecución remota de código (Remote Code Execution, RCE) por parte de un atacante sin necesidad de autenticación previa, lo que la sitúa entre las amenazas más graves dentro del panorama actual de ciberseguridad.

Desde el punto de vista técnico, la vulnerabilidad se clasifica bajo la categoría CWE-306 Missing Authentication for Critical Function, lo que implica que ciertas funcionalidades críticas del sistema están expuestas sin los mecanismos adecuados de control de acceso. Como consecuencia, un atacante puede interactuar directamente con servicios accesibles a través de HTTP y ejecutar código arbitrario en el servidor afectado.

Análisis

CVE-2026-21992 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8

CVE-2026-21992 se basa en un fallo en los mecanismos de control de acceso de ciertos servicios expuestos por productos de Oracle Corporation, concretamente, en componentes de Oracle Fusion Middleware. El sistema no aplica correctamente la autenticación en determinados endpoints, lo que permite que peticiones externas accedan directamente a funcionalidades críticas.

Desde un punto de vista técnico, la vulnerabilidad está relacionada con la debilidad CWE-306 Missing Authentication for Critical Function, lo que implica que ciertas operaciones sensibles pueden ser invocadas sin que el sistema verifique la identidad o los permisos del solicitante. Estos servicios, generalmente accesibles a través de protocolos HTTP mediante APIs REST o servicios web, están diseñados para gestionar operaciones internas con privilegios elevados.

El proceso de explotación comienza cuando un atacante identifica un endpoint vulnerable expuesto en la red. A continuación, envía una petición especialmente diseñada que invoca directamente funciones internas del sistema. Debido a la ausencia de controles de autenticación adecuados, el servidor acepta y procesa dicha petición como si fuera legítima, sin realizar validaciones adicionales sobre su origen o contenido.

Como consecuencia, el sistema ejecuta la lógica solicitada, que en muchos casos incluye capacidades avanzadas de administración o procesamiento. Si la entrada proporcionada por el atacante no se valida correctamente, puede ser interpretada como código o instrucciones ejecutables. Esto permite que el atacante logre la ejecución remota de código en el servidor afectado, comprometiendo completamente el sistema.

Este comportamiento tiene varios factores de riesgo: la explotación puede realizarse de forma remota, no requiere autenticación ni interacción del usuario, y afecta a servicios que operan con altos niveles de privilegio. En conjunto, estas características hacen que la vulnerabilidad sea fácilmente explotable y con un impacto potencial muy elevado.

Versiones afectadas

• Oracle Identity Manager, versiones 12.2.1.4.0, 14.1.2.1.0 
• Administrador de servicios web de Oracle, versiones 12.2.1.4.0, 14.1.2.1.0

Recomendaciones

Actualizar Oracle a la última versión.

Workarounds

No hay workarounds para esta vulnerabilidad.

Referencias

• https://www.oracle.com/security-alerts/alert-cve-2026-21992.html
• https://thehackernews.com/2026/03/oracle-patches-critical-cve-2026-21992.html
• https://www.securityweek.com/oracle-releases-emergency-patch-for-critical-identity-manager-vulnerability/amp/