티스토리 뷰
* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다.
오라클의 핵심 계정 및 보안 정책 관리 솔루션에서 인증 없이 원격 코드 실행(RCE)이 가능한 치명적인 결함이 발견되어 긴급 업데이트가 발표되었다.
1. 개요
CVE-2026-21992
- 위험도 점수(CVSS): 9.8 (심각)
-- 공격자가 인증 절차를 거치지 않고 HTTP 네트워크 접근만으로 대상 시스템에서 원격 코드를 실행할 수 있다.
-- 공격 성공 시 오라클 인스턴스의 전체 권한을 탈취하여 내부 데이터를 장악할 수 있다.
2. 영향 받는 제품 및 버전
오라클 아이덴티티 매니저(OIDM)와 오라클 웹 서비스 매니저(OWSM)의 12.2.1.4.0, 14.1.2.1.0
3. 주요 위험 요인
- OIDM은 기업 내 계정 생성 및 권한을 중앙 통제하는 시스템이므로, 취약점 노출 시 기업 전체 보안망이 연쇄적으로 붕괴될 위험이 있다.
- 2025년 11월에 발생한 유사 취약점(CVE-2025-61757)은 실제 공격에 악용되어 미국 CISA의 '악용된 취약점(KEV)' 목록에 등재된 바 있다.
4. 대응 방안
현재까지 보고된 실제 공격 사례는 없다.
오라클은 사안의 엄중함을 고려하여 해당 버전을 사용하는 기업 및 기관에 즉각적인 보안 패치 적용을 권고했다.
보안 전문가들은 아이덴티티 플랫폼에서의 인증 우회 및 원격 명령 실행 취약점은 악용 가능성이 매우 높으므로 신속한 대응이 필수적이라고 강조했다.
https://www.boannews.com/media/view.asp?idx=142769
CVSS 9.8 보안 경보... 오라클 계정 관리 뚫는 RCE 취약점 주의보
오라클의 핵심 계정 관리 솔루션에서 인증 없이 원격으로 코드를 실행할 수 있는 치명적인 보안 취약점(CVE-2026-21992)이 발견되어 전 세계 기업 보안망에 비상이 걸렸다.
www.boannews.com
'보안전문가로 취업할래요 > 취약점과 보안뉴스' 카테고리의 다른 글
| 개인정보보호법 개정안 주요 내용 정리 (2026. 2. 12. 국회 본회의 통과) (0) | 2026.03.29 |
|---|---|
| 금융권 설치형 보안 소프트웨어 의무 폐지 및 향후 과제 (0) | 2026.03.29 |
| 러시아 연계 해킹 그룹 UNC6353의 '다크소드' 캠페인 요약 (0) | 2026.03.26 |
| 월간 다운로드 횟수가 9500만 건을 상회하는 LiteLLM, 공급망 공격 당하다 (0) | 2026.03.25 |
| EU, 중국 및 이란 기업·개인 대상 사이버 제재 부과 (0) | 2026.03.23 |