米Oracleは10月27日、ID・アクセス管理製品「Oracle Identity Manager」の脆弱性を修正するパッチを定例外でリリースした。
同社によると、脆弱性を悪用された場合に、第三者が認証を経ることなくHTTP経由でOracle Identity Managerにアクセス可能になる。Oracle Identity Managerが乗っ取られた場合、第三者がさらなる攻撃を容易に実行し得るという。
共通脆弱性評価システム(CVSS)バージョン3による脆弱性の深刻度は、最大値の「10.0」と評価されている。脆弱性の影響を受けるバージョンは、Identity Manager 11.1.1.7/11.1.1.9/11.1.2.1.0/11.1.2.2.0/11.1.2.3.0/12.2.1.3.0となる。
同社は17日に四半期ごとの定例パッチをリリースしたばかりだが、今回の臨時パッチについても速やかな適用をユーザーに勧告している。