Oracle、重大なRCE脆弱性を修正 – Identity and Web Servicesプラットフォームに影響

Oracleは最近、Oracle Identity ManagerとOracle Web Services Managerに影響を与える、深刻なリモートコード実行（RCE）の脆弱性に関する緊急セキュリティアラートを発しました。この脆弱性はCVE-2026-21992として追跡されており、ユーザー認証なしでシステムをリモートで侵害できる可能性があります。影響を受けるFusion Middlewareコンポーネントを使用している組織は、潜在的なシステム乗っ取りを防ぐために、直ちに対応する必要があります。

脆弱性の詳細

CVE-2026-21992の発見は、これらのエンタープライズプラットフォームが受信するネットワークリクエストを処理する方法における重大な脆弱性を示しています。攻撃者は、事前に認証を行うことなく、特別に細工されたネットワークパケットをターゲットシステムに送信するだけで、この脆弱性を悪用できます。攻撃が成功すると、攻撃者はホストサーバー上で任意のコードを実行でき、マルウェアの展開、機密性の高い企業IDデータの不正取得、または内部エンタープライズネットワークへのさらなる侵入が可能になります。

Oracleは、Common Vulnerability Scoring System (CVSS) バージョン3.1を使用してこの脆弱性の深刻度を評価しています。Oracleは、攻撃者が迅速にリバースエンジニアリングを行うことを防ぐために、脆弱性の詳細な技術的なメカニズムをアドバイザリに意図的に含めていません。

影響を受けるソフトウェアとパッチの詳細

このセキュリティアップデートは、主に以下の2つのOracle Fusion Middleware製品の脆弱性を修正します。管理者は、現在のデプロイメントバージョンを以下のリストと照合し、対応するパッチドキュメントを参照して環境を保護する必要があります。

• Oracle Identity Manager: 影響を受けるバージョンは12.2.1.4.0と14.1.2.1.0です。CVE-2026-21992を解決するには、Fusion Middlewareドキュメント（KB878741）を参照する必要があります。
• Oracle Web Services Manager: 影響を受けるバージョンは12.2.1.4.0と14.1.2.1.0です。同様に、Fusion Middlewareパッチドキュメント（KB878741）を参照して、緩和策の指示に従う必要があります。

Oracleは、Lifetime Support PolicyのPremier SupportまたはExtended Supportフェーズの対象となる製品バージョンに対してのみ、パッチをテストおよび提供します。サポート対象外となったソフトウェアのバージョンは、この特定の脆弱性に対するテストを受けていませんが、Oracleは、影響を受けるリリース以前のバージョンも同様の根本的な欠陥を抱えている可能性が高いと警告しています。エンドオブライフのバージョンを使用している組織は、脅威を適切に軽減するために、サポートされているバージョンにアップグレードする必要があります。

セキュリティチームへの推奨事項

Fusion Middlewareのデプロイメントを管理する管理者は、Software Error Correction Support Policyに従って、アップデートプロセス中にシステムの安定性を確保する必要があります。高度な持続的脅威（APT）は、Oracleのアドバイザリを定期的に監視して新しいエクスプロイトチェーンを構築するため、パッチの迅速な展開は、このRCE脆弱性に対する唯一の信頼できる防御手段です。組織は、ID管理インフラストラクチャ全体で堅牢なセキュリティ体制を維持するために、これらのアップグレードを優先する必要があります。

元記事: https://gbhackers.com/oracle-fixes-high-severity-rce-vulnerability/