United States Computer Emergency Readiness Team (US-CERT)は11月2日(米国時間)、「Oracle Releases Out-of-Band Security Alert|CISA」において、Javaアプリケーションサーバの「Oracle WebLogic Server」にセキュリティ脆弱性が存在し、開発元のOracleがセキュリティパッチをリリースしたと伝えた。この脆弱性を悪用されると、攻撃者によって認証なしでリモートから任意のコードを実行されるなどの危険性がある。
該当する脆弱性は「CVE-2020-14750」として報告されており、詳細はOracleによる次のセキュリティアドバイザリにまとめられている。
影響を受けるプロダクトおよびバージョンは次のとおり。
- Oracle WebLogic Server, version 10.3.6.0.0
- Oracle WebLogic Server, version 12.1.3.0.0
- Oracle WebLogic Server, version 12.2.1.3.0
- Oracle WebLogic Server, version 12.2.1.4.0
- Oracle WebLogic Server, version 14.1.1.0.0
脆弱性の深刻度を表すCVSSv3のスコアは9.8で、「緊急(Critical)」に分類されているOracleによると、CVE-2020-14750は2020年10月に修正パッチがリリースされた別の脆弱性「CVE-2020-14882」に関連したものだという。悪用されると、ユーザー名とパスワードによる認証を必要とせずに、リモートから任意のコードを実行され、WebLogic Serverが乗っ取られるなどの被害を受ける危険性がある。