Trusted DesignCVE-2024-21182 の詳細
CVEの情報
説明:
Vulnerability in the Oracle WebLogic Server product of Oracle Fusion Middleware (component: Core). Supported versions that are affected are 12.2.1.4.0 and 14.1.1.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via T3, IIOP to compromise Oracle WebLogic Server. Successful attacks of this vulnerability can result in unauthorized access to critical data or complete access to all Oracle WebLogic Server accessible data. CVSS 3.1 Base Score 7.5 (Confidentiality impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).
CVE更新日: 2024-07-16 23:15:22.660000
CVSSバージョン: 3.1
CVSSスコア: 7.5
KEVの情報
KEV更新日: 2026-06-01
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.897420000
EPSS更新日: 2026-06-12 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: True
1. 脆弱性の概要
CVE-2024-21182 は Oracle WebLogic Server(Core コンポーネント) に存在する脆弱性で、T3 / IIOP プロトコル経由で、認証なしに機密データへアクセスされる可能性がある情報漏えい脆弱性。 攻撃者はネットワーク経由でアクセス可能な場合、認証不要でサーバーが扱うデータを読み取ることが可能。
1.1 影響
→ サーバーがアクセス可能なデータを不正に読み取られる。 完全なサーバー乗っ取りではないが、重要データの漏えいが発生する可能性がある。
1.2 深刻度
Vector:AV:N / AC:L / PR:N / UI:N / S:U / C:H / I:N / A:N
2. 対象となる環境
2.1 影響を受ける OS バージョン
影響を受ける WebLogic Server バージョン:
2.2 影響を受ける設定
→ 認証不要で攻撃が成立するため、外部に公開されている場合は特に危険。
3. 影響を受けた時の兆候
4. 推奨対策
4.1 本対策(恒久対策)
→ Oracle が提供する修正パッチで脆弱性が解消される。
4.2 暫定回避策(緩和策)
Oracle 公式は暫定回避策を明示していないが、公開情報から確実に言える事実ベースの緩和策:
T3 / IIOP ポートを外部ネットワークから遮断する
(攻撃ベクトルが T3 / IIOP のため)
不要な WebLogic 管理ポート・内部通信ポートを閉じる
外部公開されている WebLogic Server をネットワーク的に隔離する
※これらは脆弱性の性質(T3/IIOP 経由の未認証アクセス)から導かれる一般的な緩和策であり、Oracle が公式に提示したものではない。
5. その他補足すべき観点
5.1 悪用状況