Oracleは火曜日、2026年6月版の重要セキュリティパッチアップデート(CSPU)のリリースを発表しました。月次パッチの提供を開始して以来、2回目の配信となります。
同社はこれまでどおり四半期ごとの重要パッチアップデートも継続していますが、より深刻な脆弱性に迅速に対応するため、最近になって月次パッチによる補完を決定しました。
今回のCSPUアップデートでは、Communications、E-Business Suite、Enterprise Manager、Fusion Middleware、JD Edwards、MySQL、PeopleSoft、Siebel CRM、Supply Chain、Systems、Virtualizationの各製品を対象に、245件の新規パッチが提供されます。
[関連記事: Oracleの第1回月次パッチ、77件の脆弱性を修正 ]
CVSSスコアに基づき、約120件の脆弱性が「クリティカル」の深刻度評価を受けています。Oracleによれば、そのうち100件は認証なしでリモートから悪用可能とのことです。
修正された脆弱性の総数のうち、100件以上はOracle Fusion Middlewareに関するもので、その大部分が「クリティカル」または「高」の深刻度評価とされています。
「Oracleは、すでにセキュリティパッチをリリース済みの脆弱性を悪意ある手段で悪用しようとする試みに関する報告を、引き続き定期的に受けています」とOracleはアドバイザリの中で述べています。「攻撃者が成功を収めた事例も報告されており、その原因は標的とされた顧客が利用可能なOracleパッチを適用していなかったためとされています。」
ただし、ゼロデイ脆弱性の悪用については言及されていません。
セキュリティ企業各社は最近、サイバー犯罪グループ「ShinyHunters」がCVE-2026-35273として追跡されているOracle PeopleSoftの脆弱性を悪用していると報告しています。この攻撃は少なくとも100の組織を標的にしており、教育セクターの組織が多数含まれているとされています。
Oracleはユーザーに対してこの脆弱性へのパッチ適用を強く促しているものの、公開ドキュメントには実際の悪用が確認されたとの明示的な記載はありません。
6月のCSPUアドバイザリにもCVE-2026-35273への言及はありますが、積極的な悪用に関する情報は一切含まれていません。
翻訳元: https://www.securityweek.com/oracles-second-monthly-security-updates-deliver-245-patches/
