2年前に修正されたOracleの脆弱性が攻撃で悪用される　米CISAが警告（CVE-2024-21182）

2年前に修正されたOracleの脆弱性が攻撃で悪用される　米CISAが警告（CVE-2024-21182）

BleepingComputer – June 2, 2026

2年前に修正されたOracle WebLogic Serverの深刻な脆弱性が攻撃で悪用されていることを受け、米サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）はシステムを保護するよう連邦政府各機関に指示した。

この脆弱性はCVE-2024-21182として追跡されており、2024年7月にセキュリティパッチがリリースされている。影響を受けるOracle WebLogic Serverはバージョン12.2.1.4.0および14.1.1.0.0で、複雑度の低い攻撃によって権限を持たない攻撃者にリモートから悪用される恐れがあると説明された。悪用が成功した場合、重要データ等への不正アクセスが可能になるとされる。

インターネットインテリジェンスプラットフォームShodanによると、この脆弱性を持つOracle WebLogic Serverは2日現在で1,592台（12.2.1.4.0が961台、14.1.1.0.0が631台）オンライン上に公開されている。

CISAは1日付けでCVE-2024-21182をKEV（悪用が確認された脆弱性）カタログに追加するとともに、拘束力のある運用指令（BOD）22-01に基づき4日深夜までにパッチを適用するよう各機関に命じた。なお、BOD 22-01が適用されるのは連邦政府機関のみだが、CISAは民間企業を含むすべてのネットワーク防御担当者に早急な対応を求めている。

ここ数年間、攻撃に悪用されたオラクル製品の脆弱性は43件を数え、そのうち12件がランサムウェア攻撃に使われているという。

HP製VoIP電話機に重大な脆弱性　企業ネットワークへの侵害許す恐れ（CVE-2026-0826）

SecurityWeek – June 2, 2026

HPのVoIP電話機「Poly Voice」の複数モデルに重大な脆弱性が存在し、企業ネットワークの侵害につながる恐れがあることがわかった。サイバーセキュリティ企業Rapid7が警告している。

このバグはCVE-2026-0826（CVSSスコア：9.2）として追跡され、セッション記述プロトコル（SDP）属性の解析におけるスタックベースのバッファオーバーフローの問題と記されている。インタラクティブ接続確立（ICE）機能が有効になっているデバイスに影響を与え、攻撃者にroot権限でのリモートコード実行（RCE）を許すという。

影響を受けるのはHP VVXシリーズ（VVX 150、VVX 250、VVX 350、VVX 450）およびTrio IP Conferenceシリーズ（Trio 8800、Trio 8500、Trio 8300）で、各機種すべてにパッチが提供されているとのこと。ICE接続が不要な場合は、これを無効にすることで脆弱性を軽減できるそうだ。

Rapid7の脆弱性インテリジェンスディレクターは、これらのデバイスが会議室やオフィス、ヘルプデスク、病院など、基本的に信頼されている場所に置かれていることを問題視。「機微性の高い会話の盗聴手段になるだけでなく、フィッシング詐欺、ディープフェイク、ソーシャルエンジニアリング、さらには不正な金融取引などに悪用され得る音声データの収集ポイントにもなりかねない」と指摘した。