Oracle Rilis Perbaikan Darurat untuk Celah Kritis RCE pada Identity Manager
Oracle secara resmi merilis pembaruan keamanan darurat di luar jadwal rutin (out-of-band) guna mengatasi kerentanan tingkat kritis pada produk Identity Manager dan Web Services Manager. Kerentanan yang dilacak dengan kode CVE-2026-21992 ini memungkinkan peretas untuk melakukan eksekusi kode jarak jauh (RCE) tanpa memerlukan autentikasi sistem.
Sebagai informasi, Oracle Identity Manager merupakan perangkat lunak tingkat korporat yang difungsikan untuk mengelola identitas dan akses lintas perusahaan. Sementara itu, Oracle Web Services Manager bertugas menyediakan kontrol keamanan dan manajemen khusus untuk layanan berbasis web.
Ancaman Fatal Tanpa Interaksi Pengguna
Kerentanan CVE-2026-21992 ini diklasifikasikan sangat berbahaya dengan skor keparahan CVSS v3.1 mencapai 9,8 (Maksimum 10). Celah ini secara spesifik berdampak pada Oracle Identity Manager versi 12.2.1.4.0 dan 14.1.2.1.0, serta Oracle Web Services Manager versi 12.2.1.4.0 dan 14.1.2.1.0.
Pihak Oracle menjelaskan bahwa celah ini memiliki tingkat kompleksitas eksploitasi yang rendah. Peretas dapat melancarkan serangannya dari jarak jauh secara langsung melalui protokol HTTP. Lebih parahnya lagi, intrusi ini sama sekali tidak mensyaratkan adanya hak akses (autentikasi) sebelumnya, maupun interaksi apa pun dari pihak pengguna. Kondisi ini secara drastis meningkatkan risiko eksploitasi, terutama pada server perusahaan yang terekspos langsung ke jaringan internet publik.
Desakan Pembaruan Melalui Program Security Alert
Menyadari tingkat ancaman yang masif, Oracle mendistribusikan perbaikan ini melalui program Security Alert, sebuah inisiatif khusus yang ditujukan untuk merespons kerentanan kritis atau celah yang diketahui tengah dieksploitasi secara aktif sebelum jadwal patch reguler tiba.
Dalam peringatan keamanannya, perusahaan teknologi raksasa tersebut sangat mendesak seluruh pelanggannya untuk mengaplikasikan patch secepat mungkin. Namun, perlu dicatat bahwa pembaruan darurat ini hanya tersedia bagi perangkat lunak yang masih berada di bawah cakupan Dukungan Utama (Premier Support) atau Dukungan Diperpanjang (Extended Support). Organisasi yang masih menggunakan versi lawas dan tidak didukung berisiko tinggi tetap rentan terhadap serangan ini.
Hingga berita ini diturunkan, pihak Oracle menolak untuk memberikan komentar atau mengonfirmasi apakah kerentanan RCE kritis ini telah dieksploitasi secara aktif oleh penjahat siber di alam liar.
