出典: Security NEXT – https://www.security-next.com/182435
Oracle Fusion Middlewareに深刻なリモートコード実行(RCE)脆弱性が発見される
Oracle Fusion Middlewareの主要コンポーネントである「Oracle Identity Manager」と「Oracle Web Services Manager」に、認証を回避してリモートから任意のコードを実行される深刻な脆弱性が報告されました。Oracleは2026年3月19日に公式セキュリティアドバイザリを公開し、早急な対応を呼びかけています。
主要なポイント
- 脆弱性の概要:「Oracle Identity Manager」のREST WebServicesおよび「Oracle Web Services Manager」のWeb Services Securityに存在する認証欠如の脆弱性(CVE-2026-21992)により、攻撃者が認証なしでシステム制御を奪いリモートコード実行が可能。
- 影響を受けるバージョン:Oracle Identity Manager 14.1.2.1.0、12.2.1.4.0、Oracle Web Services Manager 14.1.2.1.0、12.2.1.4.0が対象。
- 脆弱性の深刻度:CVSSv3.1のベーススコアは9.8で、最も高い「クリティカル(Critical)」評価を受けている。
- 対応策:Oracleは脆弱性を修正したアップデートを公開。利用者は速やかに最新版へ更新するか、緩和策を適用することが推奨されている。
技術的な詳細や背景情報
今回の脆弱性は、Oracle Fusion Middlewareの中核をなす「Oracle Identity Manager」と「Oracle Web Services Manager」に含まれるWebサービスコンポーネントの認証処理の欠陥に起因します。具体的には、HTTPリクエストに対して適切な認証チェックが行われず、攻撃者が細工したリクエストを送信することで、認証を経ずにシステム内部の制御権を奪取できます。
この種の脆弱性はリモートコード実行(RCE)と呼ばれ、攻撃者が任意のコードをサーバ上で実行可能になるため、システムの完全な乗っ取りや情報漏洩、サービス停止など重大な被害をもたらす可能性があります。
CVSS(Common Vulnerability Scoring System)v3.1のスコア9.8は、ほぼ最大値に近く、攻撃の容易さと影響の大きさを示しています。
影響や重要性
Oracle Fusion Middlewareは多くの企業で業務システムの基盤として利用されており、今回の脆弱性は広範囲に影響を及ぼす恐れがあります。特に、認証が不要なため、外部からの不正アクセスが容易であり、攻撃者が内部ネットワークに侵入する足掛かりとなる可能性があります。
脆弱性を悪用された場合、機密情報の漏洩や業務停止、さらには他のシステムへの攻撃拡大など、企業の信用失墜や経済的損失につながるリスクが高いため、迅速な対応が不可欠です。
まとめ
Oracle Fusion Middlewareの「Oracle Identity Manager」と「Oracle Web Services Manager」に存在する認証欠如によるリモートコード実行脆弱性(CVE-2026-21992)は、非常に深刻なセキュリティリスクをもたらします。影響を受けるバージョンを利用している場合は、Oracleが提供するアップデートを速やかに適用し、緩和策がある場合は併せて実施することが強く推奨されます。
システム管理者は、定期的なセキュリティ情報の確認と迅速なパッチ適用を徹底し、企業の情報資産を守るための対策を怠らないようにしましょう。
