🔥 この記事の詳細
2026-05-25 更新
B
今週中

Oracle WebLogic Serverにおいて、リモートコード実行(RCE)およびサービス拒否(DoS)を可能にする2つの脆弱性

脆弱性🌐 英語ソース
🖥️ 製品OracleWebLogic
🔢 CVECVE-2025-21535CVE-2025-21549
📅 2026-05-25📰 nsfocus
📌 一言でいうと
Oracle WebLogic Serverにおいて、リモートコード実行(RCE)およびサービス拒否(DoS)を可能にする2つの脆弱性が公開されました。CVE-2025-21535はT3/IIOPプロトコルを介して認証なしで任意のコードを実行される恐れがあり、CVSS 9.8の極めて高い危険度となっています。また、CVE-2025-21549はHTTP/2プロトコルの設計上の欠陥によりサーバーをクラッシュさせる可能性があります。
🔍該当判定
  • 社内で『Oracle WebLogic Server』という製品をサーバーにインストールして利用している
  • WebLogic Serverのバージョンが『12.2.1.4.0』または『14.1.1.0.0』である
  • WebLogic Serverで『T3』または『IIOP』という通信プロトコルを有効にして外部からアクセス可能にしている
  • WebLogic Serverのバージョン『14.1.1.0.0』を利用しており、かつ『HTTP/2』通信を有効にしている
上記いずれにも該当しない → 静観でOK
該当時の対応
Oracleが提供する最新のセキュリティパッチを適用すること。また、不要なT3/IIOPプロトコルの有効化を避け、ネットワーク制限を検討してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Oracle WebLogic Server 脆弱性 (CVE-2025-21535, CVE-2025-21549) 対応について

お疲れさまです。Oracle WebLogic Serverの深刻な脆弱性に関する情報共有です。

■ 概要
認証なしでリモートコード実行(RCE)が可能な脆弱性(CVE-2025-21535, CVSS 9.8)および、サービス拒否(DoS)を引き起こす脆弱性(CVE-2025-21549, CVSS 7.5)が報告されました。

■ 影響範囲
- CVE-2025-21535: WebLogic 12.2.1.4.0, 14.1.1.0.0
- CVE-2025-21549: WebLogic 14.1.1.0.0

■ 対応手順
1. 稼働中のWebLogic Serverのバージョンを確認し、影響範囲に含まれているか検証してください。
2. Oracle公式の最新セキュリティパッチを適用してください。
3. T3/IIOPプロトコルの利用状況を確認し、不要な場合は制限または無効化を検討してください。

■ 参考情報
- Oracle Security Alerts: https://www.oracle.com/security-alerts/cpujan2025.html

対応優先度: 高
対応期限: 速やかに
Subject: [Security Alert] Oracle WebLogic Server Vulnerabilities (CVE-2025-21535, CVE-2025-21549)

Dear IT Administration Team,

We are sharing critical vulnerability information regarding Oracle WebLogic Server.

■ Overview
Two vulnerabilities have been identified: CVE-2025-21535 allows unauthenticated Remote Code Execution (RCE) via T3/IIOP protocols (CVSS 9.8), and CVE-2025-21549 allows Denial of Service (DoS) via HTTP/2 (CVSS 7.5).

■ Affected Versions
- CVE-2025-21535: WebLogic 12.2.1.4.0, 14.1.1.0.0
- CVE-2025-21549: WebLogic 14.1.1.0.0

■ Mitigation Steps
1. Verify the version of your running WebLogic Server instances.
2. Apply the latest security patches provided by Oracle.
3. Review the usage of T3/IIOP protocols and restrict access or disable them if not required.

■ Reference
- Oracle Security Alerts: https://www.oracle.com/security-alerts/cpujan2025.html

Priority: High
Deadline: Immediate
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-25 のまとめ🔍 記事を検索