米国公的データラボ米国の公的データを日本語で
JA
日本語 English
高 High 悪用確認済み(KEV) CVE-2024-21182

Oracle WebLogic Serverの脆弱性(CVE-2024-21182)— 認証不要でデータ侵害のおそれ

Oracle WebLogic Server KEV追加 2026年6月1日 連邦是正期限 2026-06-04

Oracle WebLogic Serverに、T3/IIOPプロトコル経由でネットワークアクセスできる認証不要の攻撃者が、サーバを侵害しうる脆弱性。重要データへの不正アクセスや全データへのアクセスにつながる。CISAは悪用確認済み(KEV)として掲載(CVSS 7.5 High)。

脆弱性の基本情報

  • CVE番号CVE-2024-21182
  • CVSS基本値7.5 HIGH
  • CVSSベクタCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
  • 対象(ベンダー/製品)Oracle WebLogic Server
  • 悪用状況CISA KEV 掲載(実際の悪用を確認)
  • 是正期限2026-06-04(米連邦民生機関・BOD 22-01)

要点

  • WebLogic ServerにT3/IIOP経由・認証不要で侵害されうる脆弱性
  • 成功すると重要データ(場合により全データ)への不正アクセスにつながる
  • Oracle 2024年7月Critical Patch Updateで修正。CISA KEV掲載(CVSS 7.5 High)
  • 対応:該当パッチ適用+T3/IIOPをインターネット非公開・接続元制限
  • 連邦民生機関の是正期限は2026年6月4日

CVE-2024-21182は、Oracle WebLogic Server(Java EE/Jakarta EEのアプリケーションサーバ)に存在する脆弱性で、認証不要の攻撃者がT3またはIIOPというプロトコルを通じてネットワーク経由でサーバを侵害できるものだ。成功するとWebLogic Serverがアクセスできる重要データへの不正アクセスや、全データへのアクセスにつながる。

WebLogicの管理プロトコルであるT3/IIOPは、過去にも繰り返し攻撃の入口として悪用されてきた経緯がある。これらを不用意にインターネットへ公開していると、認証なしで到達されてしまうため危険性が高い。CISAKEVカタログに2026年6月1日付で追加し、実際の悪用を確認している(Oracleの修正自体は2024年7月のCritical Patch Updateで提供済み)。

【対応の要点】Oracleの2024年7月Critical Patch Update(cpujul2024)に基づき該当パッチを適用する。あわせて、T3/IIOPをインターネットに公開しない、必要な接続元のみに制限する、といったネットワーク面の緩和も有効だ。連邦民生機関の是正期限は2026年6月4日。

なぜ重要か

WebLogicは基幹システムでの稼働例が多く、外部公開の有無で危険度が大きく変わる。パッチ適用に加え、T3/IIOPの公開状況の棚卸しとアクセス制限が実務上の要点。

よくある質問(FAQ)

WebLogicとは何ですか?
OracleのJavaアプリケーションサーバで、企業の基幹システムや業務アプリの実行基盤として広く使われています。
T3/IIOPとは?
WebLogicが使う通信プロトコルです。インターネットに公開されていると、認証なしで到達される攻撃の入口になりがちです。
何をすべきですか?
Oracleの2024年7月Critical Patch Updateの該当パッチを適用し、T3/IIOPの公開範囲を最小化してください。

関連プロフィール

出典(一次情報)

本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。

#Oracle#WebLogic#Java#アプリケーションサーバ#データ侵害

← 脆弱性速報の一覧へ

免責: 本サイトは各公式データソースをもとに独自に要約・分類したものです。最新・正確な情報は必ず公式ソースをご確認ください。金融・医療・法務・セキュリティに関する内容は情報整理であり、助言ではありません。本サイトは米国政府の公式サイトではありません。