Oracle Weblogic Server の wls-wsat コンポーネントにおけるデシリアライゼーションの不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2026.07.03(金)

Oracle Weblogic Server の wls-wsat コンポーネントにおけるデシリアライゼーションの不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

Oracle Weblogic Server に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
◆概要

Oracle Weblogic Server に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。脆弱性を悪用されてしまった場合は、攻撃者に侵入されてしまう危険性や、管理者権限で意図しない動作を強制されてしまう可能性が考えられます。当該製品を運用している場合は、アップデートにより早急に対策することを推奨します。

◆分析者コメント

攻撃コードの作成が容易な脆弱性であるため、攻撃者が積極的に悪用を試みる脆弱性であると考えられます。近年はデシリアライゼーションの脆弱性が流行しており、OWASP TOP 10 にもデシリアライゼーションの不備に起因する脆弱性がランクインしたことから、今後同様の脆弱性の報告が増える可能性が考えられます。ブラックボックスでは検出されづらい脆弱性ではありますが、既製品のソフトウェアを利用している場合は、ソースコードを解析されることでデシリアライゼーションの脆弱性が発見される可能性があると考えられます。既製品のソフトウェアを利用している場合は、可能な限り早くアップデートするように心掛けましょう。また、Java に限らず、PHP や Ruby on Rails で作成されたアプリケーションにおいても同様の種類の脆弱性が報告されることがあるため、アプリケーションを独自開発している場合は、セキュアコーディングガイドなどを参考に、脆弱性を作りこまないよう注意することを推奨します。

◆深刻度(CVSS)

[CVSS v2]
7.5
https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?name=CVE-2017-10271&vector=(AV:N/AC:L/Au:N/C:P/I:P/A:P)

[CVSS v3]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2017-10271&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H


◆影響を受けるソフトウェア

以下のバージョンの Oracle Weblogic Server が当該脆弱性の影響を受けると報告されています。

    - Oracle Weblogic Server 10.3.6 0
    - Oracle Weblogic Server 12.2.1.2
    - Oracle Weblogic Server 12.2.1.1
    - Oracle Weblogic Server 12.1.3.0


◆解説

Java で作成されたソフトウェアのアプリケーションサーバ製品である Oracle Weblogic Server のコンポーネントに、デシリアライゼーションの不備に起因する脆弱性が報告されています。

《株式会社ラック デジタルペンテスト部》

関連記事

特集

PageTop

アクセスランキング

  1. 市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

    市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

  2. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  3. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  4. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

  5. メールサーバへ不正アクセス、佐渡トキファンクラブ会員4,111名のメールアドレスが漏えいした可能性

    メールサーバへ不正アクセス、佐渡トキファンクラブ会員4,111名のメールアドレスが漏えいした可能性

ランキングをもっと見る
PageTop