Oracleは、2026年最初のCritical Patch Update(CPU)の一環として、30以上の製品に対する337件の新たなセキュリティパッチを公開しました。
Oracleの2026年1月CPUアドバイザリには、およそ230件の固有CVEが含まれているようです。
新たに提供された修正のうち、20数件は深刻度クリティカルの脆弱性に対応しており、235件超のパッチは認証なしでリモートから悪用可能な欠陥に対処しています。
およそ半ダースのパッチは、CVE-2025-66516(CVSSスコア10/10)に対応しています。これはApache Tikaの重大な欠陥で、XML External Entity(XXE)インジェクション攻撃につながる可能性があります。
Apache Tikaの3つのモジュールに影響するこの脆弱性は、PDF文書内に細工したXFAファイルを埋め込むことで悪用可能です。
この問題に対するパッチが提供されたOracle製品には、Commerce、Communications、Construction and Engineering、Fusion Middleware、PeopleSoftが含まれます。
今回もOracle Communicationsが最も多い56件のセキュリティ修正を受けました。そのうち34件は、リモートの未認証攻撃者によって悪用可能なバグを解消するものです。
次いでFusion Middlewareが51件の新たなセキュリティパッチを受けており、そのうち47件は認証なしでリモートから悪用可能な弱点に対応しています。
Financial Services Applicationsは38件の新たな修正(リモートから悪用可能で未認証の問題に対するものが33件)を受け、MySQLは20件のパッチ(リモートの未認証攻撃者が悪用可能な欠陥に対するものが7件)を受けました。
今月は、Siebel CRM、Retail Applications、Virtualizationがそれぞれ14件のセキュリティパッチを受けましたが、認証なしでリモートから悪用可能な問題の数はそれぞれ異なります(順に11件、10件、1件)。
また、Hyperion(12件のパッチ―リモートから悪用可能で未認証の脆弱性に対するものが10件)、PeopleSoft(12―10)、Java SE(11―11)、Supply Chain(10―8)にも相当数の修正が展開されました。
Construction and Engineering(8―7)、Analytics(8―6)、E-Business Suite(8―2)、Commerce(7―6)、JD Edwards(7―5)、Database Server(7―2)、HealthCare Applications(6―6)、Utilities Applications(5―4)、GoldenGate(5―3)、Health Sciences Applications(5―3)など、10件未満の新たなセキュリティ修正を受けたOracle製品も20数製品に上ります。
更新された製品の多くは、追加の欠陥や悪用不可能なバグに対する修正も受けました。いくつかの製品では、Oracleは悪用不可能なサードパーティ製CVEのみを修正しました。
火曜日、OracleはOracle Solarisオペレーティングシステム向けの14件の新たなセキュリティパッチを説明するセキュリティ情報を公開しました。これには、認証なしでリモートから悪用可能なバグに対するものが11件含まれています。
翻訳元: https://www.securityweek.com/oracles-first-2026-cpu-delivers-337-new-security-patches/
