【CVE-2024-21258】Oracle Installed Base 12.2.3-12.2.14に未認証アクセスの脆弱性が発見、データ漏洩のリスクに警戒

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Oracle E-Business SuiteのOracle Installed Baseに脆弱性
未認証の攻撃者がHTTP経由でデータにアクセス可能
CVSS 3.1基本スコアは5.3でMedium評価

Oracle Installed Base 12.2.3-12.2.14の脆弱性

Oracleは2024年10月15日、Oracle E-Business SuiteのOracle Installed Base製品のUser Interfaceコンポーネントに深刻な脆弱性が発見されたことを公開した。この脆弱性はバージョン12.2.3から12.2.14までの製品に影響を及ぼすことが確認されており、未認証の攻撃者がHTTP経由でシステムに侵入できる可能性があるとされている。^[1]

この脆弱性は【CVE-2024-21258】として識別されており、CVSS 3.1での基本スコアは5.3（Medium）と評価されている。攻撃者はネットワークアクセスを通じてOracle Installed Baseの一部のデータに対して不正な読み取りアクセスが可能となっており、機密情報の漏洩リスクが懸念される。

脆弱性の技術的影響度はCWE-922（機密情報の安全でない保存）に分類されており、自動化された攻撃が可能であることも確認されている。Oracle Installed Baseの管理者は早急にセキュリティパッチの適用を検討する必要があるが、現時点で具体的な対策方法については明らかにされていない。

Oracle Installed Baseの脆弱性情報まとめ

項目	詳細
CVE番号	CVE-2024-21258
影響を受けるバージョン	12.2.3から12.2.14
CVSSスコア	5.3（Medium）
脆弱性の種類	CWE-922（機密情報の安全でない保存）
攻撃条件	未認証でのネットワークアクセス

CVSSスコアについて

CVSSスコアとは、情報セキュリティ上の脆弱性の深刻度を数値化して評価するための国際標準規格である。主な評価基準として以下のような点が挙げられる。

攻撃の容易さや影響範囲を0.0から10.0で評価
攻撃元区分や攻撃条件の複雑さを考慮
機密性・完全性・可用性への影響を数値化

本件のCVSSスコアは5.3と評価されており、これは攻撃者が認証なしでネットワーク経由でアクセス可能である点が重視された結果である。スコアの算出には攻撃の容易さや必要な特権レベル、また機密性への影響度が考慮されており、中程度のリスクとして分類されている。

Oracle Installed Baseの脆弱性に関する考察

Oracle Installed Baseの脆弱性は未認証の攻撃者がHTTP経由でアクセス可能という点で、システムのセキュリティ体制に重大な課題を投げかけている。特にUser Interfaceコンポーネントを標的とした攻撃は、ユーザーデータの漏洩やシステム全体の信頼性低下につながる可能性が高く、早急な対策が必要となっているだろう。

今後の課題として、認証システムの強化やアクセス制御の見直しが挙げられる。特にHTTP経由での未認証アクセスを完全に遮断するためには、WAFの導入やネットワークセグメンテーションの見直しなど、多層的な防御体制の構築が不可欠となっている。

Oracle Installed Baseの次期バージョンでは、ゼロトラストセキュリティの考え方を取り入れた認証システムの実装が期待される。すべてのアクセスを検証対象とし、より厳密な認証プロセスを実装することで、同様の脆弱性の発生を未然に防ぐことが可能となるだろう。