製品・ソフトウェアに関する情報

JVN脆弱性詳細

Oracle Java SE および Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition における 2D に関する脆弱性

タイトル	Oracle Java SE および Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition における 2D に関する脆弱性
概要	Oracle Java SE および Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition には、2D に関する処理に不備があるため、機密性、完全性、および可用性に影響のある脆弱性が存在します。
想定される影響	リモートの攻撃者により、情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 攻撃が行われる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2025年4月15日0:00
登録日	2025年5月1日15:19
最終更新日	2025年5月27日17:25

CVSS3.0 : 警告
スコア	5.6
ベクター	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

影響を受けるシステム

オラクル

JDK 11.0.26

JDK 17.0.14

JDK 21.0.6

JDK 24

JDK 8 Update 441

JDK 8 Update 441-perf

JRE 11.0.26

JRE 17.0.14

JRE 21.0.6

JRE 24

JRE 8 Update 441

JRE 8 Update 441-perf

Oracle GraalVM Enterprise Edition 20.3.17

Oracle GraalVM Enterprise Edition 21.3.13

Oracle GraalVM for JDK 17.0.14

Oracle GraalVM for JDK 21.0.6

Oracle GraalVM for JDK 24

日立

Hitachi Application Server

Hitachi Application Server for Developers

Hitachi Automation Director

Hitachi Compute Systems Manager

Hitachi Configuration Manager

Hitachi Device Manager

Hitachi Dynamic Link Manager

Hitachi Global Link Manager

Hitachi Infrastructure Analytics Advisor

Hitachi Ops Center Administrator

Hitachi Ops Center Analyzer

Hitachi Ops Center Analyzer viewpoint

Hitachi Ops Center API Configuration Manager

Hitachi Ops Center Automator

Hitachi Ops Center Common Services

Hitachi Ops Center Viewpoint

Hitachi Replication Manager

Hitachi Tiered Storage Manager

Hitachi Tuning Manager

uCosminexus Application Runtime with Java for Apache Tomcat

uCosminexus Application Runtime with Java for Spring Boot

uCosminexus Application Server

uCosminexus Application Server(64)

uCosminexus Application Server-R

uCosminexus Client

uCosminexus Developer

uCosminexus Operator for Service Platform

uCosminexus Primary Server Base

uCosminexus Primary Server Base(64)

uCosminexus Service Architect

uCosminexus Service Platform

uCosminexus Service Platform(64)

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2025-30698	https://www.cve.org/CVERecord?id=CVE-2025-30698
National Vulnerability Database (NVD)
2	CVE-2025-30698	https://nvd.nist.gov/vuln/detail/CVE-2025-30698

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-284	https://cwe.mitre.org/data/definitions/284.html

ベンダー情報

No	名前	URL
Hitachi Software Vulnerability Information
1	hitachi-sec-2025-117	https://www.hitachi.com/products/it/software/security/info/vuls/hitachi-sec-2025-177/index.html
2	hitachi-sec-2025-121	https://www.hitachi.com/products/it/software/security/info/vuls/hitachi-sec-2025-121/index.html
Oracle Critical Patch Update
3	Oracle Critical Patch Update Advisory - April 2025	https://www.oracle.com/security-alerts/cpuapr2025.html
4	Text Form of Oracle Critical Patch Update - April 2025 Risk Matrices	https://www.oracle.com/security-alerts/cpuapr2025verbose.html
ソフトウェア製品セキュリティ情報
5	hitachi-sec-2025-117	https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2025-117/index.html
6	hitachi-sec-2025-121	https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2025-121/index.html
富士通セキュリティ情報
7	Oracle Corporation Javaプラグインの脆弱性に関するお知らせ	https://www.fmworld.net/biz/common/oracle/20250416.html

その他

No	名前	URL
IPA 重要なセキュリティ情報
1	Oracle Java の脆弱性対策について(2025年4月)	https://www.ipa.go.jp/security/security-alert/2025/0416-jre.html

変更履歴

No	変更内容	変更日
1	[2025年05月01日] 掲載	2025年5月1日15:19
2	[2025年05月16日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立 (hitachi-sec-2025-117) を追加	2025年5月16日16:14
3	[2025年05月27日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立 (hitachi-sec-2025-121) を追加	2025年5月27日16:30

NVD脆弱性情報

CVE-2025-30698

概要	Vulnerability in the Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: 2D). Supported versions that are affected are Oracle Java SE: 8u441, 8u441-perf, 11.0.26, 17.0.14, 21.0.6, 24; Oracle GraalVM for JDK: 17.0.14, 21.0.6, 24; Oracle GraalVM Enterprise Edition: 20.3.17 and 21.3.13. Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to some of Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition accessible data as well as unauthorized read access to a subset of Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition accessible data and unauthorized ability to cause a partial denial of service (partial DOS) of Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Note: This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. This vulnerability does not apply to Java deployments, typically in servers, that load and run only trusted code (e.g., code installed by an administrator). CVSS 3.1 Base Score 5.6 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L).
公表日	2025年4月16日6:15
登録日	2025年4月17日4:03
最終更新日	2025年4月17日1:15