2025/10/22 CyberSecurityNews — Oracle が 2025年10月の Patch Update で公開したのは、E-Business Suite の Marketing 製品に存在する、2つの深刻な脆弱性 CVE-2025-53072/CVE-2025-62481 (CVSS:9.8) の情報である。これらの脆弱性は Marketing Administration コンポーネントに影響を及ぼし、リモート攻撃者に完全な制御権を奪われる可能性があるため、今年公表された Oracle 関連の脅威の中でもきわめて深刻なものとされる。Oracle の CRM と Marketing 自動化のスイートを利用する組織は、速やかにパッチを適用し、潜在的なデータ侵害やシステム乗っ取りを防ぐ必要がある。
これらの脆弱性は、Marketing Administration コンポーネントが HTTP リクエストを処理する際の欠陥に起因する。さらに、認証を必要としないネットワーク経由での悪用が可能であるため、その悪用に成功した攻撃者に対して Oracle Marketing モジュールへの高レベルのアクセスを許し、機密性/完全性/可用性に影響を及ぼす恐れがある。
その結果として、高機密ユーザー・データの窃取/マーケティング・キャンペーンの改竄/業務の完全な妨害などが生じるという。
ランサムウェア集団や国家レベルの攻撃者が容易な侵入経路を狙い続けるという、脅威の状況がある。したがって、Oracle E-Business Suite のような広範で使用される ERP システムの脆弱性により、さらに危険性が高まると懸念される。
脆弱性の詳細
脆弱性 CVE-2025-53072/CVE-2025-62481 の影響が及ぶ範囲は、Oracle Marketing のバージョン 12.2.3~12.2.14 であり、最新のセキュリティ・パッチの適用以外に緩和策は存在しない。また、Oracle のアドバイザリは、これらの問題が初期評価から変更されず、容易に悪用できるという性質を持ち続けていることを強調している。
各脆弱性の CVSS 3.1 ベクター (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) が示すのは、ネットワーク攻撃ベクター (AV:N)/攻撃の複雑さが低い (AC:L)/権限不要 (PR:N)/ユーザー操作不要 (UI:N)/影響範囲不変 (S:U)/機密性・完全性・可用性 (C:H/I:H/A:H) である。
| CVE ID | Component | Attack Vector | Requires Auth? | CVSS 3.1 Score | Attack Complexity | Privileges Required | User Interaction | Scope | Confidentiality Impact | Integrity Impact | Availability Impact | Affected Versions |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| CVE-2025-53072 | Marketing Administration | HTTP (Network) | No | 9.8 | Low | None | None | Unchanged | High | High | High | 12.2.3-12.2.14 |
| CVE-2025-62481 | Marketing Administration | HTTP (Network) | No | 9.8 | Low | None | None | Unchanged | High | High | High | 12.2.3-12.2.14 |
これらの項目には共通点が見られる。同一のスコアとベクターが示唆するのは、入力検証やセッション処理に関連するコーディング・エラーである。ただし Oracle は、攻撃者への情報提供を避けるために、詳細は公表していない。
緩和策
今回の開示は、Cisco や Microsoft などを標的とする、サプライチェーン攻撃が急増している中で行われた。Oracle E-Business Suite が中核的なマーケティング機能を担う、小売/金融/電子商取引などを営む企業に大きなリスクが生じている。つまり、これらの脆弱性により、膨大な顧客プロファイルが盗難や改竄の危険にさらされ、GDPR や CCPA などの規制上の罰金の対象となる可能性がある。
ユーザーに対して Oracle が強く推奨するのは、My Oracle Support で提供される Patch Update for October 2025 の適用である。その一方で、専門家たちが暫定的な緩和策として推奨するのは、ネットワークのセグメンテーションと HTTP の異常を検知する WAF コンフィグに加えて、マーケティング管理トラフィックにおける異常を監視することだ。
この脆弱性への攻撃のインセンティブが高いため、ダークウェブフォーラムでエクスプロイト・コードが出現する可能性があると、Mandiant などのサイバー・セキュリティ企業が警告している。
企業がインシデント対応に追われる中、この事案が浮き彫りにするのは、レガシー・システムにおけるプロアクティブな脆弱性管理の重要性である。現時点では悪用が確認されていないため、防御の機会が残されているが、脅威が登場するまでの時間が急速に狭まっていくと推測される。
Oracle E-Business Suite の Marketing Administration コンポーネントにおける、HTTP リクエスト処理の脆弱性が FIX しました。この脆弱性を悪用するリモート攻撃者は、認証を必要とすることなくコードを実行し、システム全体を制御する可能性を得ています。企業で広く利用される ERP 環境の脆弱性であり、被害が連鎖する可能性も高いため、迅速なパッチ適用が重要だと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Oracle E-Business で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.