プレス発表　注意喚起　Oracle Weblogic Server の脆弱性について

2019年4月28日
独立行政法人情報処理推進機構

IPAは、多くの商用ウェブサイトや企業のアプリケーションサーバーの構築に利用されているOracle WebLogic Server の脆弱性について注意喚起を発表しました。

当該脆弱性ではすでに、攻撃コードが公開されているとの情報や、攻撃の可能性を探索する活動が報告されています^(脚注1)。

また、脆弱性の深刻度を示すCVSSv3^(脚注2)値では9.8^(脚注3)と評価されています。CVSSv3の深刻度は「注意、警告、重要、緊急」の4段階に分類されており、当該脆弱性は「緊急」に相当します。よって、当該製品の利用者は速やかな対策の実施検討が望まれます。

当該脆弱性において、CVSSv3値が9.8と評価された要因には次のようなものがあります。

• ネットワークを介して外部から攻撃可能であること
• 認証が不要であり、誰でも攻撃が可能なこと
• 任意のコード実行が可能で、攻撃された場合の影響が大きいこと

対象となる製品のバージョンは以下の通りです。

• Oracle WebLogic Server 10.3.6.0.0
• Oracle WebLogic Server 12.1.3.0.0

脆弱性対策情報の詳細はIPA セキュリティセンターが公開したページをご確認ください。

Oracle WebLogic Server の脆弱性（CVE-2019-2725）について

• 脚注1 JPCERTコーディネーションセンター
  Oracle WebLogic Server の脆弱性 (CNVD-C-2019-48814) について
• 脚注2 共通脆弱性評価システムCVSSv3概説
• 脚注3 脆弱性の深刻度は0（低）～10.0（高）の範囲で表示している。