つみかさね

CVE-2026-46840

Critical(10)

CVE-2026-46840 — Oracle REST Data Services 認証バイパスによるシステム乗っ取り

公開日: 2026-06-05データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Oracle REST Data ServicesOracle24.2.0〜26.1.0

対応ガイド

high|対応必須セキュリティ修正影響: 極めて広範

推奨アクション

  1. 1Oracle REST Data Services のバージョンを確認する(24.2.0〜26.1.0が対象)
  2. 2Oracle Critical Patch Update(2026年5月)のパッチを適用する
  3. 3パッチ適用後、動作確認を実施する

影響対象

Oracle REST Data Services 利用者Oracle E-Business Suite連携環境

補足

  • -パッチ適用が困難な場合は、ネットワーク制御でHTPPS接続元を制限することを暫定措置として検討してください
CVEOracleREST認証バイパスCVSS10.0

概要

Oracle REST Data Services の Backend-as-a-Service コンポーネントにCVSS 10.0の認証バイパス脆弱性が存在します。未認証の攻撃者がネットワーク経由でHTTPSアクセスでき、システムを完全に掌握できます(機密性・完全性・可用性すべてに影響)。さらにスコープ変更(隣接製品への影響)を含むことが評価されており、CVSS最高スコアの10.0が付与されています。

2026年5月のOracle Critical Patch Update(CPU)にて公開されました。

CVSSベクトル

項目内容
深刻度Critical(CVSS 3.1: 10.0)
攻撃経路(AV)ネットワーク(N)
攻撃の複雑さ(AC)低(L)
必要な権限(PR)なし(N)
ユーザー操作(UI)不要(N)
スコープ(S)変更あり(C)
機密性への影響(C)高(H)
完全性への影響(I)高(H)
可用性への影響(A)高(H)
CWECWE-284(不適切なアクセス制御)、CWE-287(不適切な認証)、CWE-306(重要機能への認証なし)

影響を受けるソフトウェア

製品名ベンダー影響バージョン
Oracle REST Data ServicesOracle24.2.0〜26.1.0

修正バージョンと回避策

  • 修正: Oracle Critical Patch Update(2026年5月)を適用してください。
  • 参考ページ: Oracle Security Alertsページで最新のパッチセットを確認し、適用してください。
  • 回避策: 公式パッチの適用が最優先です。適用が困難な場合は、インターネット等からのアクセスを制限するネットワーク制御を暫定措置として検討してください。

関連リンク

データソース: NVD (NIST), Oracle Security Alerts AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-46775Oracle REST Data Services Core 認証不備(CVSS 9.9)CVSS 9.9CVE-2026-46839Oracle REST Data Services Core 不適切なアクセス制御(CVSS 9.9)CVSS 9.9

参考リンク

Oracle Security Alerts:https://www.oracle.com/security-alerts/cspumay2026.html
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-46840
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。