概要
Oracle WebLogic Server の Core コンポーネントに CVSS 3.1 スコア 9.9(Critical)の脆弱性が存在します。低権限の認証済みユーザーが HTTP 経由でネットワークからアクセスするだけで、WebLogic Server を完全に乗っ取ることができます(機密性・完全性・可用性すべてに高い影響)。スコープ変更(S:C)を伴うため、WebLogic が動作するシステム上の他の製品やコンポーネントにも影響が及ぶ可能性があります。
Oracle 2026年6月 Critical Patch Update(CPU)として 2026年6月17日に公開されました。
CVSSベクトル
| 項目 | 値 | 意味 |
|---|---|---|
| 攻撃経路(AV) | ネットワーク(N) | リモートから攻撃可能 |
| 攻撃の複雑さ(AC) | 低(L) | 特別な条件なし |
| 必要な権限(PR) | 低(L) | 低権限ユーザーでも可 |
| ユーザー操作(UI) | なし(N) | ユーザー操作不要 |
| スコープ変更(S) | 変更あり(C) | 他コンポーネントへ影響波及 |
| 機密性影響(C) | 高(H) | 完全な情報漏洩 |
| 完全性影響(I) | 高(H) | 完全なデータ改ざん |
| 可用性影響(A) | 高(H) | 完全なサービス停止 |
影響を受けるソフトウェア
| 製品 | 影響バージョン | 修正方法 |
|---|---|---|
| Oracle WebLogic Server | 14.1.2.0.0 | Oracle June 2026 CPU 適用 |
| Oracle WebLogic Server | 15.1.1.0.0 | Oracle June 2026 CPU 適用 |
修正バージョンと対応策
- Oracle June 2026 Critical Patch Update を適用してください
- Oracle Fusion Middleware 環境では、WebLogic のほか Identity Manager(CVE-2026-35268、CVSS 9.9)や WebCenter Content(CVE-2026-35286、CVSS 9.8)も同時に修正が必要です
- CPU 適用スケジュールを持っている組織では、今回の CPU を優先扱いとすることを推奨します
関連リンク
データソース: NVD (NIST), Oracle Security Alerts AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。