Oracle WebLogic サーバにおける任意の Java コードが注入可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2020.12.03(木)

Oracle WebLogic サーバにおける任意の Java コードが注入可能となる脆弱性(Scan Tech Report)

2020 年 10 月に、Oracle 社が提供する Java アプリケーションサーバ製品である WebLogic Server に、任意のコード実行につながる脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
◆概要
 2020 年 10 月に、Oracle 社が提供する Java アプリケーションサーバ製品である WebLogic Server に、任意のコード実行につながる脆弱性が報告されています。攻撃者に脆弱性を悪用されてしまった場合は、WebLogic サーバの実行ユーザの権限で侵入されてしまいます。アップデートやアクセス制御により対策してください。

◆分析者コメント
 脆弱性を悪用するリクエストの生成が容易であるため、攻撃者が悪用を試行する可能性が高い脆弱性であると考えられます。WebLogic Server という製品の性質を考慮すると、インターネット上から WebLogic Server のポートにアクセスできる状況はセキュリティ的に好ましくないため、アクセス制御状況から見直して対策してください。

◆深刻度(CVSS)
[CVSS v3.1]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2020-14882&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=Oracle

◆影響を受けるソフトウェア
 公式サポートの対象範囲内であるバージョンのうち、WebLogic Server の以下のバージョンが、当該脆弱性の影響を受けると報告されています。

  - WebLogic Server 10.3.6.0.0
  - WebLogic Server 12.1.3.0.0
  - WebLogic Server 12.2.1.3.0
  - WebLogic Server 12.2.1.4.0
  - WebLogic Server 14.1.1.0.0


◆解説
 Oracle 社の WebLogic Server に、任意の Java コードの挿入によって任意のコードが実行可能となる脆弱性が報告されています。
《株式会社ラック デジタルペンテストサービス部》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×