セキュリティ

SECURITY

公開：2025-04-24

【CVE-2025-30694】Oracle Database ServerのXML Databaseに深刻な脆弱性、データの改ざんや閲覧のリスクが発生

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Oracle Database ServerのXML Databaseに脆弱性が発見
• 複数のバージョンが影響を受け、データの改ざんや閲覧が可能に
• CVSS 3.1のBase Scoreは5.4で中程度の深刻度

Oracle Database ServerのXML Database脆弱性

Oracle社は2025年4月15日、Oracle Database ServerのXML Databaseコンポーネントに影響する脆弱性【CVE-2025-30694】を公開した。この脆弱性は、バージョン19.3から19.26、21.3から21.17、23.4から23.7のOracle Database Serverに影響を与えており、低権限の攻撃者がHTTPを介してXML Databaseを侵害する可能性があることが判明している。^[1]

脆弱性を悪用するには攻撃者以外の人間による操作が必要となるが、XML Database以外の製品にも重大な影響を及ぼす可能性がある。攻撃が成功した場合、XML Databaseでアクセス可能なデータの一部に対して、不正な更新や挿入、削除、閲覧が可能になることが確認されている。

この脆弱性のCVSS 3.1によるBase Scoreは5.4で、機密性と完全性への影響が指摘されている。CVSSベクトルは「CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N」であり、ネットワークを介した攻撃が可能で、攻撃の複雑さは低いとされている。

Oracle Database ServerのXML Database脆弱性の詳細

CWE-284について

CWE-284は「Improper Access Control（不適切なアクセス制御）」を指す脆弱性分類であり、システムやアプリケーションにおけるアクセス制御の実装が不適切である状態を示している。主な特徴として、以下のような点が挙げられる。

• 認証されたユーザーによる権限範囲外のリソースへのアクセスが可能
• アクセス制御チェックの欠如や不完全な実装が原因
• 情報漏洩やデータ改ざんのリスクが存在

Oracle Database ServerのXML Databaseにおける今回の脆弱性では、低権限のユーザーアカウントを持つ攻撃者がHTTPを介してデータベースに不正アクセスする可能性がある。この脆弱性により、本来アクセスできないはずのデータの閲覧や改変が可能となり、データベースのセキュリティが著しく損なわれる可能性がある。

Oracle Database ServerのXML Database脆弱性に関する考察

Oracle Database Serverは企業の重要なデータを扱うシステムの中核を担っているため、今回の脆弱性の影響は広範囲に及ぶ可能性がある。特にXML Databaseコンポーネントは多くの業務システムで利用されており、データの改ざんや情報漏洩のリスクは企業の事業継続性に重大な影響を及ぼす可能性があるだろう。

この脆弱性に対する対策として、影響を受けるバージョンを使用している組織は早急なパッチ適用が推奨される。さらに、HTTPアクセスの制限やユーザー権限の見直しなど、多層的な防御策を講じることで、脆弱性が悪用されるリスクを軽減することが可能だ。

今後はOracle社による定期的なセキュリティアップデートの提供に加え、データベース管理者による継続的なセキュリティ監視が重要となる。特にXML Database機能を利用するシステムについては、アクセス制御やユーザー認証の強化など、より厳密なセキュリティ対策の実装が望まれる。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-30694」. https://www.cve.org/CVERecord?id=CVE-2025-30694, (参照 25-04-24).
1752
2. Oracle. https://www.oracle.com/jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧