情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)は11月5日、「Oracle WebLogic Server の脆弱性対策について(CVE-2020-14750):IPA 独立行政法人 情報処理推進機構」において、Oracle WebLogic Serverに緊急性の高い脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって遠隔からサーバ権限で任意のコードが実行される危険性がある。

脆弱性に関する情報は次のページにまとまっている。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。該当する脆弱性はCVSSv3.1のスコア値が9.8の緊急(Critical)に分類されており注意が必要。

  • Oracle WebLogic Server 10.3.6.0.0
  • Oracle WebLogic Server 12.1.3.0.0
  • Oracle WebLogic Server 12.2.1.3.0
  • Oracle WebLogic Server 12.2.1.4.0
  • Oracle WebLogic Server 14.1.1.0.0
  • Oracle Security Alert - CVE-2020-14750

    Oracle Security Alert - CVE-2020-14750

今回、発見された脆弱性はネットワークを通じて外部から攻撃可能である点に注意が必要。さらに認証も不要とされており、誰でも攻撃することができる。つまり、だれでもて任意のコードの実行が可能であり、攻撃された場合の影響が大きいとの評価が下されている。また、上記のバージョン以外も影響を受けるおそれがあり、Oracle WebLogic Server を使用している場合は関連情報をチェックするとともに、迅速にアップデートを適用することが望まれる。