Oracle罕見打破季度修補週期，於3月19日發布緊急安全公告，揭露Fusion Middleware中的嚴重遠端程式碼執行（RCE）漏洞CVE-2026-21992。該漏洞影響Oracle Identity Manager（OIM）與Oracle Web Services Manager（OWSM），CVSS評分高達9.8（Critical），攻擊者無需認證即可利用，極可能導致身分管理失控、權限提升與安全策略被篡改。資安專家警告，若此漏洞遭商用間諜或勒索集團利用，影響範圍將涵蓋全球上千家大型企業，對台灣多個使用Oracle OIM的金融、科技與製造業構成重大威脅。

 

Oracle官方公告顯示，CVE-2026-21992位於OIM與OWSM的HTTP API介面，攻擊複雜度低，只需目標系統暴露於網際網路即可發動。成功利用後，攻擊者可任意操控OIM定義的身分、角色與存取策略，實現橫向移動與權限提升；同時可修改或停用OWSM安全政策，為後續攻擊開路，甚至竊取敏感資料、癱瘓服務或執行任意指令。Tenable資深研究工程師Satnam Narang指出，此漏洞與去年10月同樣獲9.8分的CVE-2025-61757高度相似，兩者皆影響OIM的REST WebServices元件，且影響版本相同（12.2.1.4.0與14.1.2.1.0）。雖然Oracle未證實兩者關聯，但Narang推測可能為同一問題的變種或延伸。

 

目前尚無公開證據顯示CVE-2026-21992已被野外利用，但Narang警告：「若與前例相同，攻擊者很可能已開始準備利用。暴露的端點若未立即修補，風險極高。」Enlyft與Landbase資料顯示，OIM全球部署超過1,000家組織，多數位於美國IT與科技業，大型跨國企業如Walmart、Huawei、ExxonMobil皆為客戶。這些企業員工數逾萬、年營收超過10億美元，一旦遭入侵，後果恐波及全球供應鏈。

 

Oracle表示已針對CVE-2026-21992發布修補，並通知相關OEM與客戶盡快部署。Narang提醒，大型企業因系統複雜度與客製化程度高，修補時程常從數天延至數月，「這正是已知漏洞長期被利用的主因」。他呼籲客戶聯繫裝置製造商確認修補狀態，並優先檢查是否暴露於公網。

 

對台灣影響不容忽視。台灣金融機構與科技製造業廣泛使用Oracle Fusion Middleware進行身分管理與Web服務安全，許多系統暴露管理介面或使用舊版未修補版本。若CVE-2026-21992遭APT或勒索集團鎖定，可能導致企業身分系統遭劫持、關鍵資料外洩，甚至影響生產與供應鏈運作。近期台灣已多次傳出企業身分管理系統遭入侵事件，此漏洞應視為最高優先級。

 

資安專家建議台灣企業立即採取以下防護措施：

 

Narang總結：「CVE-2026-21992的低攻擊門檻與高影響力，意味著修補速度決定一切。大型企業的修補延遲是攻擊者的最佳機會窗口。」

 

Oracle此次破例提前發布修補，顯示漏洞嚴重性已達不容忽視地步。台灣企業若繼續拖延修補，恐成為下一個被鎖定目標。資安團隊應視此為警訊，立即盤點所有Oracle部署，將其納入最高優先修補清單。

 

 

出處： 基於Dark Reading文章《Patch Now: Oracle's Fusion Middleware Has Critical RCE Flaw》，作者Nate Nelson，發布日期2026年3月21日；並參考Oracle官方安全公告、Tenable資深研究工程師Satnam Narang評論、Enlyft與Landbase部署數據，以及相關Oracle OIM漏洞歷史分析。