Oracleは、WebLogicプロキシ層を介してリモート攻撃者が公開システムを侵害できる可能性がある、Fusion Middlewareスタックの脆弱性について、顧客にパッチ適用を推奨しています。
この欠陥は、WebトラフィックをバックエンドのWebLogicサーバーへルーティングするプロキシコンポーネントに影響し、インターネット公開およびDMZ環境の展開はより高いリスクにさらされます。
この脆弱性は「…HTTP経由でネットワークアクセスできる未認証の攻撃者が、Oracle HTTP Server、Oracle Weblogic Server Proxy Plug-inを侵害できるようにする」と、NISTはアドバイザリで述べています。
影響を受けるWebLogicプロキシのバージョンとリスク
CVE-2026-21962は、Oracle HTTP ServerおよびWebLogic Server Proxy Plug-inを用いてWebトラフィックをバックエンドのアプリケーションサーバーへ転送するOracle Fusion Middleware環境に影響します。
影響を受けるバージョンには、Oracle HTTP Serverおよびプロキシプラグインの12.2.1.4.0、14.1.1.0.0、14.1.2.0.0に加え、IIS向けWebLogic Server Proxy Plug-inの12.2.1.4.0が含まれます。
これらのコンポーネントはDMZにおける境界面のゲートウェイとして配置されることが多いため、信頼できないネットワークに露出しやすく、受信HTTPリクエストの経路上に直接位置します。
Oracleによれば、この脆弱性はWebLogicプロキシプラグインがプロキシ層で受信リクエストを処理する方法における欠陥に起因します。
この問題は、HTTP経由でリモートから悪用可能で、認証不要、攻撃の複雑性も低いため、公開されたミドルウェア基盤をスキャンする脅威アクターにとって非常に魅力的であり、特に危険です。
悪用に成功した場合、Oracleの開示によれば、攻撃者は機密データへの不正アクセスを得て、Oracle HTTP Serverを通じてアクセス可能なデータを作成・削除・変更することでシステムの完全性を損なう可能性があります。
現時点で実環境での悪用報告はなく、この脆弱性のCVSSスコアは10.0です
WebLogicプロキシの脆弱性を緩和する方法
この欠陥はリモートから悪用可能で、境界面に面したプロキシコンポーネントに影響するため、セキュリティチームは公開システムが迅速に狙われる可能性があると想定すべきです。
最も効果的な対応は迅速なパッチ適用であり、露出を減らし、横展開を制限し、検知を改善する多層的な制御で補強することです。
- 影響を受けるOracle HTTP ServerおよびWebLogicプロキシプラグインのバージョンに対して、Oracleのパッチをできるだけ早く適用する。
- 公開されているHTTPポートへのアクセスを制限し、プロキシエンドポイントをWAFまたはリバースプロキシの背後に配置して、直接的な攻撃対象領域を減らす。
- プロキシホストとバックエンドのWebLogicサーバー間で強固なネットワークセグメンテーションを強制し、ピボット(踏み台)や影響範囲(ブラスト半径)を抑える。
- 管理アクセスを厳格化し、不要なサービスを削除し、管理インターフェースにMFAを必須化することで、プロキシサーバーを強化する。
- 不審なプロキシリクエストのパターン、異常、および予期しないプロキシからバックエンドへの挙動に対する監視と検知を強化する。
- 外部への露出を見直し、継続的に検証して、プロキシコンポーネントが不必要にインターネットへ公開されていないことを確認する。
これらの対策を組み合わせることで、プロキシの露出がより広範な侵害へ発展するのを防ぐ助けになります。
WebLogicプロキシは標的になり得る
この脆弱性は、プロキシやゲートウェイのコンポーネントが企業環境の境界に位置する場合、直接的な侵害経路になり得ることを改めて示しています。
悪用が確認されていないとしても、未認証でアクセス可能でCVSS 10.0というスコアは、影響を受けるWebLogicプロキシに対して、パッチ適用と露出削減を緊急に行う必要があることを意味します。
チームは迅速にパッチを適用し、境界のアクセスを引き締め、セグメンテーションを検証して、プロキシ層からバックエンドシステムへのピボットを防ぐべきです。
これらのリスクは、ゼロトラスト戦略が高価値システムとアクセス経路を保護するうえで重要である理由を浮き彫りにしています。
