Oracle WebLogic サーバにおける任意の Java コードが注入可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2024.05.31(金)

Oracle WebLogic サーバにおける任意の Java コードが注入可能となる脆弱性(Scan Tech Report)

2020 年 10 月に、Oracle 社が提供する Java アプリケーションサーバ製品である WebLogic Server に、任意のコード実行につながる脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
◆概要
 2020 年 10 月に、Oracle 社が提供する Java アプリケーションサーバ製品である WebLogic Server に、任意のコード実行につながる脆弱性が報告されています。攻撃者に脆弱性を悪用されてしまった場合は、WebLogic サーバの実行ユーザの権限で侵入されてしまいます。アップデートやアクセス制御により対策してください。

◆分析者コメント
 脆弱性を悪用するリクエストの生成が容易であるため、攻撃者が悪用を試行する可能性が高い脆弱性であると考えられます。WebLogic Server という製品の性質を考慮すると、インターネット上から WebLogic Server のポートにアクセスできる状況はセキュリティ的に好ましくないため、アクセス制御状況から見直して対策してください。

◆深刻度(CVSS)
[CVSS v3.1]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2020-14882&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=Oracle

◆影響を受けるソフトウェア
 公式サポートの対象範囲内であるバージョンのうち、WebLogic Server の以下のバージョンが、当該脆弱性の影響を受けると報告されています。

  - WebLogic Server 10.3.6.0.0
  - WebLogic Server 12.1.3.0.0
  - WebLogic Server 12.2.1.3.0
  - WebLogic Server 12.2.1.4.0
  - WebLogic Server 14.1.1.0.0


◆解説
 Oracle 社の WebLogic Server に、任意の Java コードの挿入によって任意のコードが実行可能となる脆弱性が報告されています。
《株式会社ラック デジタルペンテスト部》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×