概要
Oracle Fusion Middleware の Identity Manager 製品(Core コンポーネント)に、不適切なアクセス制御(CWE-284)の脆弱性が存在します。低権限の攻撃者が T3 または IIOP プロトコルを介してリモートから攻撃でき、攻撃が成功するとスコープ変更を伴う Identity Manager の完全乗っ取りが可能です。CVSS 3.1 スコアは 9.9(Critical)で、機密性・完全性・可用性のすべてに高い影響があります。
Oracle June 2026 Critical Patch Update(CPU)として 2026年6月17日に公開されました。
CVSSベクトル
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
| 項目 | 値 | 意味 |
|---|---|---|
| 攻撃経路(AV) | ネットワーク(N) | リモートから攻撃可能 |
| 攻撃の複雑さ(AC) | 低(L) | 特別な条件なし |
| 必要な権限(PR) | 低(L) | 低権限ユーザーで攻撃可能 |
| ユーザー操作(UI) | なし(N) | ユーザー操作不要 |
| スコープ変更(S) | 変更あり(C) | 他コンポーネントへの影響 |
| 機密性影響(C) | 高(H) | 情報漏洩の可能性 |
| 完全性影響(I) | 高(H) | データ改ざんの可能性 |
| 可用性影響(A) | 高(H) | サービス停止の可能性 |
影響を受けるソフトウェア
| 製品 | 影響バージョン | 修正 |
|---|---|---|
| Oracle Identity Manager | 12.2.1.4.0 | Oracle June 2026 CPU 適用 |
| Oracle Identity Manager | 14.1.2.1.0 | Oracle June 2026 CPU 適用 |
修正バージョンと対応策
- Oracle June 2026 Critical Patch Update を適用する
- T3/IIOP プロトコルへのアクセスをネットワーク境界で制限することで、攻撃対象面を縮小できます
- パッチ適用が困難な場合は、Identity Manager への外部ネットワークアクセスを最小化する暫定対策を検討してください
関連リンク
データソース: NVD (NIST), Oracle Security Alerts AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。