はじめに
Oracle は 2026 年 3 月 19 日、Fusion Middleware 製品群に含まれる Oracle Identity Manager(OIM)および Oracle Web Services Manager(OWSM)に影響する脆弱性 CVE-2026-21992 について、四半期ごとの Critical Patch Update とは別枠の臨時セキュリティアラート(out-of-band 公開)を発表しました。本脆弱性はネットワーク経由かつ認証なしでリモートコード実行(RCE)に至る可能性があり、CVSS 3.1 Base Score は 9.8(Critical)です。
ID 基盤や Web サービス保護を担うミドルウェアは外部公開されることが多く、攻撃者にとって価値の高い標的になりやすい領域です。本記事執筆時点では、Oracle による実環境での悪用の確認や公開 PoC は確認されておらず、CISA KEV にも未登録です。一方で、同じ OIM の REST WebServices に存在した関連脆弱性 CVE-2025-61757 は、2025 年 11 月に実環境で悪用され KEV に登録された前例があります。なお同時期には、PeopleSoft PeopleTools の未認証 RCE(CVE-2026-35273)がゼロデイとして悪用される事案も発生しており、Oracle 製品を狙う動きが続いています(詳細は関連記事『CVE-2026-35273 PeopleSoft 脆弱性|パッチ前の緩和策と侵害確認手順』を参照)
- CVE-2026-21992 の概要と、未認証 RCE がもたらすリスク
- 影響を受ける OIM・OWSM のバージョンとパッチ適用の進め方
- パッチ適用までの間の暫定的な緩和策の考え方
CVE-2026-21992 は OIM・OWSM の各バージョン 12.2.1.4.0・14.1.2.1.0 に影響し、HTTP 経由・未認証で RCE に至り得ます。対応の基本は My Oracle Support 経由でのパッチ適用で、適用までの猶予を確保する場合は、対象エンドポイントの公開範囲の最小化と境界での仮想パッチが緩和策となります。
参考: Oracle Security Alert Advisory – CVE-2026-21992
“This vulnerability is remotely exploitable without authentication.”
(本脆弱性は認証なしでネットワーク経由から悪用可能である)
https://www.oracle.com/security-alerts/alert-cve-2026-21992.html
CVE-2026-21992 の概要と深刻度
CVE-2026-21992 は、Oracle Fusion Middleware の 2 製品にまたがる脆弱性で、製品ごとに影響コンポーネントが異なります。
- Oracle Identity Manager(OIM): REST WebServices コンポーネント
- Oracle Web Services Manager(OWSM): Web Services Security コンポーネント
いずれも認証情報やユーザー操作を必要とせず、HTTP 経由で到達できる状態であれば、外部から RCE が成立し得ます。OIM は組織全体の ID・ロール・ポリシーを管理する基盤であり、掌握された場合は横展開や権限昇格の足がかりにされる懸念があります。
CVSS 9.8 が示す優先度
CVSS 3.1 Base Score は 9.8(Critical)で、ベクトルは AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H です。攻撃元区分がネットワーク、攻撃の複雑さが低、必要権限・ユーザー操作がいずれも不要で、機密性・完全性・可用性すべてに High の影響が出るという、対応の優先度が最も高い部類の組み合わせです。
影響を受けるバージョンとパッチ適用
直接的に影響を受ける製品とバージョンは以下のとおりです。
- Oracle Identity Manager: 12.2.1.4.0、14.1.2.1.0
- Oracle Web Services Manager: 12.2.1.4.0、14.1.2.1.0
パッチおよび緩和策は、サポート対象(Premier / Extended Support)のバージョンに対して提供されます。サポート対象外の旧バージョンは検証対象外で、影響を受ける可能性が高いとされているため、サポート対象バージョンへのアップグレードが推奨されます。なお OWSM は Fusion Middleware Infrastructure と同梱で導入される点も前提として押さえておきます。
パッチは My Oracle Support の Patch Availability Document(要ログイン)から、対象バージョンごとの手順とあわせて入手できます。基幹を支えるミドルウェアへの適用は既存アプリケーションへ影響する場合があるため、ステージング環境での検証と、スナップショット取得による切り戻し計画を用意したうえで適用する流れが望ましいです。
パッチ適用前の暫定緩和策
パッチの検証や計画停止(メンテナンスウィンドウ)の確保に時間がかかる場合は、ネットワーク境界での仮想パッチとアクセス制御で猶予を確保します。考え方の詳細はハブ記事に集約し、ここでは本 CVE に直接関わる要点に絞ります。
公開範囲の最小化:
OIM・OWSM の管理用エンドポイントや REST WebServices をインターネットへ不要に公開せず、境界での IP 制限で到達経路を絞る。
WAF による遮断:
公開 Web エンドポイント前段の WAF(FortiWeb 等)を最新シグネチャに更新し、異常な HTTP リクエストを検査・遮断する。
IPS による検知・遮断:
NGFW / IPS(FortiGate 等)で関連シグネチャが提供された場合は、アクションを検知のみから遮断へ切り替える。
これらは一時的な緩和であり、根本対応は My Oracle Support からのパッチ適用です。仮想パッチ・最小権限・ネットワーク分離・ZTNA・継続的な脆弱性診断といった恒久的な設計の考え方は、ハブ記事にまとめています(ハブ記事『Oracle 脆弱性対応の進め方|Security Alert と CPU の読み方と緩和策』を参照 )
まとめ
CVE-2026-21992 は、Oracle Identity Manager と Oracle Web Services Manager にまたがる未認証 RCE 脆弱性です。本記事執筆時点で実環境での悪用や KEV 登録は確認されていないものの、同系統の関連 CVE が悪用された前例があり、パッチ適用と暫定的な緩和策を並行して進めることが現実的なリスク低減につながります。
- CVE-2026-21992 は OIM・OWSM の未認証 RCE 脆弱性(CVSS 9.8)
- 影響コンポーネントは OIM の REST WebServices と OWSM の Web Services Security
- 対象は両製品の 12.2.1.4.0・14.1.2.1.0 で旧バージョンも要注意
- 本記事執筆時点で CISA KEV 未登録かつ悪用未確認
- 関連の CVE-2025-61757 は 2025 年 11 月に KEV 登録済みの前例
- 根本対応は My Oracle Support 経由のパッチ適用
- 適用までは公開範囲の最小化と WAF / IPS による暫定緩和
以上、最後までお読みいただきありがとうございました。
