Oracle WebLogic の脆弱性 CVE-2026-21962 が FIX:深刻なインフラ露出の可能性

Critical Oracle WebLogic Server Proxy Vulnerability Lets Attackers Compromise the Server

2026/01/21 CyberSecurityNews — Oracle が公開したのは、Fusion Middleware スイートに影響を及ぼす、深刻なセキュリティ脆弱性 CVE-2026-21962 に関する情報である。この脆弱性が影響を及ぼす範囲は、Oracle HTTP Server および Oracle WebLogic Server Proxy Plug-in である。この脆弱性は、CVSS 3.1 ベース・スコア 10.0 と評価され、Critical に分類されている。これらのプロキシ・コンポーネントを使用しているエンタープライズ環境において、即時性の高い脅威が発生している。

この脆弱性は、Apache HTTP Server および Microsoft IIS 向けの WebLogic Server Proxy Plug-in が、受信リクエストを処理する方式に起因する。この欠陥はプロキシ層に存在し、未認証のリモート攻撃により重要インフラが露出する可能性があるが、悪用においてユーザー操作は必要とされない。

Oracle WebLogic Server Proxy Plug-in の脆弱性

この脆弱性の特徴は、攻撃の複雑性が低く、きわめて大きな影響が生じるところにある。HTTP 経由でネットワーク・アクセス可能な未認証の攻撃者は、この欠陥を悪用することで、セキュリティ制御を完全に回避できる。

前述のとおり、この問題が影響を及ぼす範囲は、Oracle HTTP Server および WebLogic Server Proxy Plug-in である。これらの製品は、通常では DMZ に配置され、バックエンドの WebLogic クラスターへのリクエストを転送する目的で使用されている。

Oracle が公開した情報によると、この脆弱性により、重要なデータへの不正アクセスが可能となる。さらに、Oracle HTTP Server からアクセス可能なデータに対しては、作成/削除/変更といった操作が可能になるため、攻撃者による整合性の操作が引き起こされ、情報の改竄に至る恐れがある。

この脆弱性の CVSS ベクターにおいて注目すべきは、”Scope Change (S:C)” である。この脆弱性自体は Proxy Plug-in 内に存在するが、悪用が成功した場合には、プラグインの範囲を超えてリソースやコンポーネントに影響を及ぼし、バックエンドの WebLogic 環境へのピボットとなり得る可能性を示している。

CVSS ベクター上では、可用性への影響は無しとされているが、機密性および整合性が完全に失われるため、サーバは侵害された状態になり得る。

影響を受けるバージョンおよびコンポーネント

管理者にとって必要なことは、自身の環境を直ちに確認することである。この脆弱性は、Oracle Fusion Middleware コンポーネントである、WebLogic Server Proxy Plug-in for Apache HTTP Server および WebLogic Server Proxy Plug-in for IIS に影響を及ぼす。

このエクスプロイトの影響を受けるサポート対象バージョンは、以下の通りである。

  • Oracle HTTP Server/Proxy Plug-in:12.2.1.4.0/14.1.1.0.0/14.1.2.0.0
  • WebLogic Server Proxy Plug-in for IIS:12.2.1.4.0 のみ

悪用の容易さと、リスクにさらされるデータの重要性を踏まえる必要がある。ユーザー組織は、Oracle の Critical Patch Update (CPU) で提供されているパッチを直ちに適用すべきである。

迅速なパッチ適用が困難な場合にセキュリティ・チームが検討すべきは、影響を受ける HTTP ポートへのネットワーク・アクセスを、信頼済み IP アドレスのみに制限することだ。ただし、この対応は、正当な Web トラフィックを阻害する可能性がある。

Oracle のエンタープライズ・ソフトウェア Fusion Middleware に、最大級の警戒が必要な脆弱性が見つかりました。この問題の原因は、外部からの通信を社内サーバへ中継する Proxy Plug-in が、リクエストを処理する際の設計上の重大な不備にあります。

この脆弱性 CVE-2026-21962 は、深刻度が最高値の 10.0 (Critical) と評価されています。攻撃者は、特別な権限やユーザーの操作を必要とせずに、インターネット経由で細工した通信を送るだけで、本来は守られているはずの社内ネットワーク (WebLogic サーバなど) のセキュリティを完全に突破できてしまいます。

具体的には、プロキシ・サーバが管理している重要データの窃取や、データの書換/削除まで行われる恐れがあります。通常、このコンポーネントは DMZ に置かれているため、ここが突破されると、社内の基幹システム全体を侵害する足がかりが生じる恐れがあります。ご利用のチームは、ご注意ください。よろしければ、Oracle での検索結果も、ご参照ください。