Oracle REST Data Services (CSPU 2026 年 5 月)

critical Nessus プラグイン ID 318834

Language:

概要

リモートホストは、複数の脆弱性の影響を受ける Oracle REST Data Services のバージョンを実行しています。

説明

リモートホストにインストールされている Oracle REST Data Services (ORDS) のバージョンは、24.2.0～26.1.0 です。したがって、2026 年 5 月の Critical Security Patch Update (CSPU) アドバイザリに記載されているとおり、複数の脆弱性の影響を受けます。

- Oracle REST Data Services の脆弱性 (コンポーネント: Backend-as-a-Service)。容易に悪用可能な脆弱性により、認証されていない攻撃者が HTTPS を介してネットワークにアクセスし、Oracle REST Data Services を侵害する可能性があります。脆弱性があるのは Oracle REST Data Services ですが、攻撃により別の製品にも重大な影響を与える可能性があります。(範囲変更) この脆弱性に対する攻撃が成功すると、Oracle REST Data Services の乗っ取りが発生する可能性があります。
(CVE-2026-46840)

- Oracle REST Data Services の脆弱性 (コンポーネント: Core)。容易に悪用可能な脆弱性により、権限が低い攻撃者が HTTPS を介してネットワークにアクセスし、Oracle REST Data Services を侵害する可能性があります。脆弱性があるのは Oracle REST Data Services ですが、攻撃により別の製品にも重大な影響を与える可能性があります。(範囲変更) この脆弱性に対する攻撃が成功すると、Oracle REST Data Services の乗っ取りが発生する可能性があります。(CVE-2026-46775、CVE-2026-46839)

- Oracle REST Data Services の脆弱性 (コンポーネント: Core)。容易に悪用可能な脆弱性により、権限が低い攻撃者が HTTPS を介してネットワークにアクセスし、Oracle REST Data Services を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータや Oracle REST Data Services がアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があるとともに、権限なしで重要なデータにアクセスできるようになったり、Oracle REST Data Services がアクセスできるすべてのデータに完全にアクセスできるようになったりする可能性があります。(CVE-2026-35277)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。