高度严重的漏洞（CVSS得分10）让黑客劫持Oracle Identity Manager

在Oracle的企业身份管理系统中发现了一个高度关键的漏洞，未经验证的远程攻击者很容易利用该漏洞对受影响的系统进行完全控制。

该漏洞影响到Oracle Fusion中间件的Oracle Identity Manager（OIM）组件&8212；自动管理用户在企业内访问权限的企业身份管理系统。
安全漏洞是由“默认帐户”造成的，未经身份验证的攻击者可以通过HTTP访问该帐户，从而危害Oracle Identity Manager。

Oracle尚未发布该漏洞的完整细节，以防止在野外被利用，但这里的“默认帐户”可能是一个带有硬编码或没有密码的秘密帐户。

“该漏洞可在无需身份验证的情况下被远程攻击，也就是说，可以在不需要用户凭据的情况下通过网络进行攻击，”Oracle的顾问写道。

该易受攻击的漏洞会影响Oracle Identity Manager版本11.1.1.7、11.1.1.9、11.1.2.1.0、11.1.2.2.0、11.1.2.3.0和12.2.1.3.0。

Oracle已为其受影响产品的所有版本发布了修补程序，因此建议您在黑客有机会利用该漏洞攻击您的企业之前安装修补程序。

该公司警告称：“鉴于此漏洞的严重性，Oracle强烈建议客户立即应用此安全警报提供的更新”。

不在卓越支持或扩展支持下的产品版本不会测试是否存在漏洞。

然而，甲骨文表示，这是一个错误“受影响版本的早期版本可能也受到这些漏洞的影响。因此，Oracle建议客户升级到受支持的版本”。

针对该漏洞的安全修补程序发布于2017年10月Oracle定期关键修补程序更新（CPU）后大约两周，该更新修补了其产品中总共252个漏洞，包括40个in-Fusion中间件，其中26个可在无需身份验证的情况下远程利用。