【CVE-2024-21264】Oracle PeopleSoft Enterprise CC Common Application Objects 9.2に深刻な脆弱性、データアクセスのリスクが浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

PeopleSoft Enterprise CC Common Application Objectsに脆弱性
低権限の攻撃者がHTTP経由でデータにアクセス可能
CVSSスコア5.4のセキュリティ上の問題が判明

PeopleSoft Enterprise CC Common Application Objects 9.2の脆弱性

Oracleは2024年10月15日、PeopleSoft Enterprise CC Common Application Objects 9.2のActivity Guide Composerコンポーネントに脆弱性があることを発表した。攻撃者は低権限でもHTTPを介してPeopleSoft Enterprise CC Common Application Objectsの一部のデータに不正アクセスが可能になっている。【CVE-2024-21264】^[1]

この脆弱性では、攻撃者は一部のデータの読み取りや更新、挿入、削除が可能であり情報漏洩のリスクが存在する。CVSSスコアは5.4（中程度）で評価されており、攻撃の複雑さは低いが特権レベルが必要とされている。

脆弱性の影響範囲は、PeopleSoft Enterprise CC Common Application Objects 9.2のActivity Guide Composerコンポーネントに限定されている。SSVCの評価では、エクスプロイトの自動化は確認されておらず、技術的な影響は部分的であるとされている。

PeopleSoft Enterprise CC Common Application Objects 9.2の脆弱性詳細

項目	詳細
CVE番号	CVE-2024-21264
影響を受けるバージョン	PeopleSoft Enterprise CC Common Application Objects 9.2
影響を受けるコンポーネント	Activity Guide Composer
CVSSスコア	5.4（中程度）
攻撃経路	HTTP経由のネットワークアクセス

CVSSスコアについて

CVSSスコアとは、脆弱性の深刻度を数値化して評価するための世界標準的な指標のことを指す。主な特徴として、以下のような点が挙げられる。

攻撃の容易さや影響度を0.0から10.0の数値で表現
攻撃元区分、複雑さ、必要な特権レベルなどを考慮
セキュリティ対策の優先順位付けに活用

本脆弱性のCVSSベクトルは「CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N」と評価されており、ネットワーク経由での攻撃が可能で複雑さは低いことを示している。SSVCの評価では技術的な影響は部分的であり、エクスプロイトの自動化は確認されていないことから、現時点での直接的な被害は限定的とされている。

Oracle PeopleSoftの脆弱性に関する考察

PeopleSoft Enterprise CC Common Application Objectsの脆弱性は、低権限の攻撃者でもHTTP経由でアクセス可能という点で深刻度が高いと言える。特にActivity Guide Composerコンポーネントが影響を受けることで、企業の重要なデータが不正アクセスされるリスクが存在している。

今後は同様の脆弱性が他のコンポーネントでも発見される可能性があり、継続的なセキュリティ監視が必要になるだろう。特に低権限での攻撃を防ぐため、アクセス制御の強化や認証システムの見直しが求められている。

Oracle PeopleSoftユーザーは、セキュリティアップデートの適用を迅速に行うことが重要である。また、Activity Guide Composerの使用状況を見直し、必要最小限のアクセス権限設定を行うことで、潜在的なリスクを軽減することが可能だろう。