| Title | オラクルのOracle GraalVM等の複数製品におけるリソースの枯渇に関する脆弱性 |
|---|---|
| Summary | Oracle Java SEおよびOracle GraalVM Enterprise Edition製品(コンポーネント:Hotspot)における脆弱性です。影響を受けるサポート対象バージョンはOracle Java SEの8u481および8u481-b50、Oracle GraalVM Enterprise Editionの21.3.17です。悪用は困難ですが、この脆弱性により、Oracle Java SEおよびOracle GraalVM Enterprise Editionが実行されているインフラストラクチャにログオンできる低権限の攻撃者が、Oracle Java SEおよびOracle GraalVM Enterprise Editionを侵害する可能性があります。攻撃の成功には、攻撃者以外の人物による人間の操作が必要です。この脆弱性を悪用すると、重要なデータまたはOracle Java SEおよびOracle GraalVM Enterprise Editionでアクセス可能なすべてのデータに対して無許可の作成、削除、または変更を行うことができ、またOracle Java SEおよびOracle GraalVM Enterprise Editionをハングアップまたは頻繁にクラッシュ(完全なサービス拒否)させる無許可の操作を引き起こす可能性があります。注意:本脆弱性は、Java Web StartアプリケーションやJavaアプレットなどのサンドボックス化されたJavaクライアント環境において、不審なコード(例:インターネットから取得されるコード)をロードして実行し、Javaサンドボックスに依存しているJavaデプロイメントに適用されます。この脆弱性は、通常管理者によってインストールされた信頼できるコードのみをロードして実行するサーバー上のJavaデプロイメントには適用されません。CVSS 3.1基本スコアは6.0(整合性および可用性に影響があります)。CVSSベクター:(CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:H)です。 |
| Possible impacts | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 21, 2026, midnight |
| Registration Date | April 27, 2026, 11:28 a.m. |
| Last Update | April 27, 2026, 11:28 a.m. |
| CVSS3.0 : 警告 | |
| Score | 6 |
|---|---|
| Vector | CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:H |
| オラクル |
| JDK 1.8.0 |
| JRE 1.8.0 |
| Oracle GraalVM 21.3.17 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月27日] 掲載 |
April 27, 2026, 11:28 a.m. |
| Summary | Vulnerability in the Oracle Java SE, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: Hotspot). Supported versions that are affected are Oracle Java SE: 8u481 and 8u481-b50; Oracle GraalVM Enterprise Edition: 21.3.17. Difficult to exploit vulnerability allows low privileged attacker with logon to the infrastructure where Oracle Java SE, Oracle GraalVM Enterprise Edition executes to compromise Oracle Java SE, Oracle GraalVM Enterprise Edition. Successful attacks require human interaction from a person other than the attacker. Successful attacks of this vulnerability can result in unauthorized creation, deletion or modification access to critical data or all Oracle Java SE, Oracle GraalVM Enterprise Edition accessible data and unauthorized ability to cause a hang or frequently repeatable crash (complete DOS) of Oracle Java SE, Oracle GraalVM Enterprise Edition. Note: This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. This vulnerability does not apply to Java deployments, typically in servers, that load and run only trusted code (e.g., code installed by an administrator). CVSS 3.1 Base Score 6.0 (Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:H). |
|---|---|
| Publication Date | April 22, 2026, 6:16 a.m. |
| Registration Date | April 25, 2026, 4:03 a.m. |
| Last Update | April 25, 2026, 1:42 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:oracle:graalvm:21.3.17:*:*:*:enterprise:*:*:* | |||||
| cpe:2.3:a:oracle:jdk:1.8.0:update481:*:*:-:*:*:* | |||||
| cpe:2.3:a:oracle:jdk:1.8.0:update481_b50:*:*:-:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.8.0:update481:*:*:-:*:*:* | |||||
| cpe:2.3:a:oracle:jre:1.8.0:update481_b50:*:*:-:*:*:* | |||||