Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition製品の脆弱性(コンポーネント:AWT、JavaFX)について報告します。影響を受けるサポート対象バージョンは、Oracle Java SE:8u471、8u471-b50、8u471-perf、11.0.29、17.0.17、21.0.9、25.0.1、Oracle GraalVM for JDK:17.0.17および21.0.9、Oracle GraalVM Enterprise Edition:21.3.16です。複数のプロトコルを介したネットワークアクセスにより、未認証の攻撃者が容易に悪用可能な脆弱性のため、Oracle Java SE、Oracle GraalVM for JDK、およびOracle GraalVM Enterprise Editionが危険にさらされる可能性があります。成功した攻撃は攻撃者以外の人物の操作を必要とし、この脆弱性はOracle Java SE、Oracle GraalVM for JDK、およびOracle GraalVM Enterprise Editionに存在しますが、攻撃は他の製品にも大きな影響を及ぼす可能性があります(スコープの変更)。この脆弱性に対する成功した攻撃は、重要なデータまたはアクセス可能なすべてのOracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Editionのデータに対して権限のない作成、削除、または変更アクセスを与える可能性があります。注:この脆弱性は、通常クライアントでサンドボックス化されたJava Web StartアプリケーションやJavaアプレットに適用されます。具体的には、インターネットから取得した信頼されていないコードを読み込み実行し、Javaサンドボックスのセキュリティに依存するJava展開に対して影響があります。この脆弱性は、通常管理者がインストールした信頼されるコードのみを読み込み実行するサーバーでのJava展開には適用されません。CVSS 3.1基本スコアは7.4(完全性への影響)です。CVSSベクターは(CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:H/A:N)です。
|