Oracle Java SE、Oracle GraalVM for JDK、およびOracle GraalVM Enterprise Edition製品のRMIコンポーネントに存在する脆弱性です。影響を受けるサポート対象バージョンは、Oracle Java SEの8u471、8u471-b50、8u471-perf、11.0.29、17.0.17、21.0.9、25.0.1、Oracle GraalVM for JDKの17.0.17および21.0.9、Oracle GraalVM Enterprise Editionの21.3.16です。この脆弱性は複数のプロトコルを介してネットワークアクセスを持つ認証されていない攻撃者によって悪用される可能性があり、Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Editionが侵害される恐れがあります。悪用されると、これらの製品でアクセス可能なデータの一部に対して不正な更新、挿入、削除や、一部のデータの不正な読み取りが発生する可能性があります。注記として、この脆弱性は指定されたコンポーネントのAPIを利用して悪用されることがあり、例えばAPIにデータを供給するウェブサービスを通じて悪用される場合があります。また、この脆弱性はJava Web StartアプリケーションやJavaアプレットのサンドボックス内で実行されるクライアントに典型的に展開されるJavaのデプロイにも該当し、信頼されていないコード(例:インターネットから取得したコード)をロードして実行し、Javaサンドボックスにセキュリティを依存している場合に影響します。CVSS 3.1の基本スコアは4.8(機密性および完全性に影響)で、CVSSベクターはCVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:Nです。
|