◆概要
2020 年 10 月に、Oracle 社が提供する Java アプリケーションサーバ製品である WebLogic Server に、任意のコード実行につながる脆弱性が報告されています。攻撃者に脆弱性を悪用されてしまった場合は、WebLogic サーバの実行ユーザの権限で侵入されてしまいます。アップデートやアクセス制御により対策してください。
◆分析者コメント
脆弱性を悪用するリクエストの生成が容易であるため、攻撃者が悪用を試行する可能性が高い脆弱性であると考えられます。WebLogic Server という製品の性質を考慮すると、インターネット上から WebLogic Server のポートにアクセスできる状況はセキュリティ的に好ましくないため、アクセス制御状況から見直して対策してください。
◆深刻度(CVSS)
[CVSS v3.1]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2020-14882&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=Oracle
◆影響を受けるソフトウェア
公式サポートの対象範囲内であるバージョンのうち、WebLogic Server の以下のバージョンが、当該脆弱性の影響を受けると報告されています。
- WebLogic Server 10.3.6.0.0
- WebLogic Server 12.1.3.0.0
- WebLogic Server 12.2.1.3.0
- WebLogic Server 12.2.1.4.0
- WebLogic Server 14.1.1.0.0
◆解説
Oracle 社の WebLogic Server に、任意の Java コードの挿入によって任意のコードが実行可能となる脆弱性が報告されています。
2020 年 10 月に、Oracle 社が提供する Java アプリケーションサーバ製品である WebLogic Server に、任意のコード実行につながる脆弱性が報告されています。攻撃者に脆弱性を悪用されてしまった場合は、WebLogic サーバの実行ユーザの権限で侵入されてしまいます。アップデートやアクセス制御により対策してください。
◆分析者コメント
脆弱性を悪用するリクエストの生成が容易であるため、攻撃者が悪用を試行する可能性が高い脆弱性であると考えられます。WebLogic Server という製品の性質を考慮すると、インターネット上から WebLogic Server のポートにアクセスできる状況はセキュリティ的に好ましくないため、アクセス制御状況から見直して対策してください。
◆深刻度(CVSS)
[CVSS v3.1]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2020-14882&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=Oracle
◆影響を受けるソフトウェア
公式サポートの対象範囲内であるバージョンのうち、WebLogic Server の以下のバージョンが、当該脆弱性の影響を受けると報告されています。
- WebLogic Server 10.3.6.0.0
- WebLogic Server 12.1.3.0.0
- WebLogic Server 12.2.1.3.0
- WebLogic Server 12.2.1.4.0
- WebLogic Server 14.1.1.0.0
◆解説
Oracle 社の WebLogic Server に、任意の Java コードの挿入によって任意のコードが実行可能となる脆弱性が報告されています。