CVE-2026-21992: Oracle Identity Manager میں RCE خامی، CVSS سکور 9.8 – مکمل تجزیہ اور فوری پیچ گائیڈ

 CVE-2026-21992: Oracle Identity Manager میں RCE خامی، CVSS سکور 9.8 – مکمل تجزیہ اور فوری پیچ گائیڈ

تعارف (Intro)

مارچ 2026 میں Oracle نے ایک ناقص حد تک سنگین خطرہ (Critical Vulnerability) سے متعلق ایمرجنسی پیچ جاری کیا جس کا کوڈ CVE-2026-21992 ہے۔ اس کی CVSS شدت کا سکور 9.8 (Critical) ہے، جس کا مطلب ہے کہ یہ بغیر کسی تصدیق (Unauthenticated) کے ریموٹ کوڈ پر عمل درآمد (RCE: Remote Code Execution) کی اجازت دیتی ہے۔

یہ مضمون اس خامی کی تکنیکی تفصیلات، متاثرہ مصنوعات، ممکنہ اثرات اور فوری حل پر مشتمل ہے۔

یہ خامی کتنی سنگین ہے؟ (Severity Overview)

اس خامی کو CVSS v3.1 کے مطابق درجہ بندی کیا گیا ہے:

· Attack Vector (AV): Network – انٹرنیٹ سے حملہ ممکن

· Attack Complexity (AC): Low – حملے میں کوئی خاص شرائط درکار نہیں

· Privileges Required (PR): None – بغیر کسی صارف نام یا پاس ورڈ کے

· User Interaction (UI): None – صارف کی جانب سے کسی عمل کی ضرورت نہیں

· Impact: Confidentiality, Integrity, Availability سب High

نتیجہ: ایک حملہ آور مکمل طور پر system takeover کر سکتا ہے۔

کون سی مصنوعات متاثر ہیں؟ (Affected Products)

Oracle نے درج ذیل پروڈکٹس کو متاثرہ قرار دیا ہے:

پروڈکٹ متاثرہ ورژن

Oracle Identity Manager (OIM) 12.2.1.4.0, 14.1.2.1.0

Oracle Web Services Manager (OWSM) 12.2.1.4.0, 14.1.2.1.0

نوٹ: یہ خامی Oracle Fusion Middleware کے حصے میں موجود ہے۔

تکنیکی وجہ کیا ہے؟ (Technical Root Cause)

یہ خامی XML input validation کے نامکمل ہونے کی وجہ سے پیدا ہوتی ہے۔ جب OIM کسی خاص قسم کے XML ڈیٹا کو پروسیس کرتا ہے، تو وہ code injection کے لیے راستہ فراہم کر دیتا ہے۔

حملہ آور صرف ایک specially crafted HTTP request بھیج کر:

1. سرور پر arbitrary commands چلا سکتا ہے۔

2. حساس ڈیٹا (جیسے ڈیٹا بیس کے ریکارڈ) چوری کر سکتا ہے۔

3. سروس کو مکمل طور پر کریش کر سکتا ہے (DoS)۔

سب سے خطرناک بات: اس کے لیے کسی قسم کی authentication کی ضرورت نہیں۔

کیا اس کا استعمال ہو چکا ہے؟ (Exploitation Status)

اب تک (اپریل 2026 تک) بڑے پیمانے پر حملوں کی کوئی تصدیق شدہ رپورٹ موجود نہیں ہے۔ تاہم، سیکیورٹی فرم GreyNoise اور ShadowServer نے اس خامی کو اسکین کرنے والے کچھ IP ایڈریس ریکارڈ کیے ہیں۔

ماہرین اسے "trivial to exploit" (بہت آسان) قرار دیتے ہیں، یعنی عوامی Exploit جاری ہوتے ہی حملوں میں تیزی سے اضافہ ہو جائے گا۔

فوری حل: کیا کرنا ہے؟ (Immediate Remediation)

یہ کوئی عارضی حل (workaround) نہیں ہے۔ صرف پیچ ہی واحد حل ہے۔

1. فوری طور پر پیچ ڈاؤن لوڈ کریں:

   · Oracle Critical Patch Update Advisory (CPU) مارچ 2026 دیکھیں۔

   · Patch نمبر: 37055841 (Oracle Support سے حاصل کریں)

2. اگر پیچ فوری ممکن نہ ہو تو:

   · انٹرنیٹ سے OIM اور OWSM کے انٹرفیس کو بلاک کر دیں۔

   · Web Application Firewall (WAF) میں XML payloads کو اسکین کرنے والے قواعد شامل کریں۔

3. اسکین کریں: اپنے لاگز میں درخواستوں کی جانچ کریں جن میں غیر معمولی XML ڈیٹا ہو۔

اکثر پوچھے گئے سوالات (FAQs)

سوال: کیا Oracle Cloud خود بخود محفوظ ہے؟

جواب: اگر آپ Oracle Cloud Infrastructure (OCI) پر managed سروس استعمال کر رہے ہیں، تو Oracle نے خود بخود پیچ لگا دیا ہے۔ لیکن اپنی custom ڈپلائیمنٹ کی صورت میں آپ کو خود پیچ لگانا ہو گا۔

سوال: کیا یہ خامی ransomware سے تعلق رکھتی ہے؟

جواب: خود یہ خامی ransomware نہیں ہے، لیکن حملہ آور اسے ransomware ڈیلیور کرنے کے لیے استعمال کر سکتے ہیں۔

نتیجہ (Conclusion)

CVE-2026-21992 ایک انتہائی سنگین خامی ہے جو بغیر کسی پاس ورڈ کے آپ کے پورے Identity Management سسٹم پر قبضہ کر سکتی ہے۔

فوری اقدام: آج ہی اپنے Oracle Identity Manager اور Web Services Manager کے ورژن چیک کریں اور مارچ 2026 کا CPU پیچ انسٹال کریں۔

تحریر از محمد طارق