つみかさね

CVE-2026-35286

Critical(9.8)

CVE-2026-35286 — Oracle WebCenter Content Server 認証バイパスによる完全乗っ取り

公開日: 2026-06-19データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Oracle WebCenter ContentOracle12.2.1.4.0, 14.1.2.0.0

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Oracle WebCenter Content のバージョンを確認する(12.2.1.4.0 または 14.1.2.0.0 が対象)
  2. 2Oracle June 2026 Critical Patch Update を適用する
  3. 3Content Server への外部ネットワークアクセスをファイアウォールで制限する

影響対象

Oracle WebCenter Content 12.2.1.4.0 利用者Oracle WebCenter Content 14.1.2.0.0 利用者

補足

  • -パッチ適用まで期間がある場合は、外部からのアクセスを最小化することを推奨します
CVEOracleWebCenter ContentFusion Middleware認証バイパス

概要

Oracle Fusion Middleware の Oracle WebCenter Content 製品(Content Server コンポーネント)に、認証機構の欠如(CWE-306)に起因する脆弱性が存在します。未認証の攻撃者が HTTP を介してリモートから攻撃でき、WebCenter Content の完全乗っ取りが可能です。CVSS 3.1 スコアは 9.8(Critical)です。

Oracle June 2026 Critical Patch Update(CPU)として 2026年6月17日に公開されました。

CVSSベクトル

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

項目意味
攻撃経路(AV)ネットワーク(N)リモートから攻撃可能
攻撃の複雑さ(AC)低(L)特別な条件なし
必要な権限(PR)なし(N)認証不要
ユーザー操作(UI)なし(N)ユーザー操作不要
スコープ変更(S)変更なし(U)
機密性影響(C)高(H)情報漏洩の可能性
完全性影響(I)高(H)データ改ざんの可能性
可用性影響(A)高(H)サービス停止の可能性

影響を受けるソフトウェア

製品影響バージョン修正
Oracle WebCenter Content12.2.1.4.0Oracle June 2026 CPU 適用
Oracle WebCenter Content14.1.2.0.0Oracle June 2026 CPU 適用

修正バージョンと対応策

  • Oracle June 2026 Critical Patch Update を適用する
  • WebCenter Content Server へのネットワークアクセスをファイアウォールで制限することで、暫定的な攻撃対象面の縮小が可能です

関連リンク

データソース: NVD (NIST), Oracle Security Alerts AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-35263Oracle WebLogic Server 完全乗っ取りCVSS 9.9CVE-2026-35278Oracle PeopleSoft PeopleTools 完全乗っ取りCVSS 9.8

参考リンク

Oracle:https://www.oracle.com/security-alerts/cspujun2026.html
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-35286
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。