Oracleは「Critical Patch Update(CPU)2026年1月版」を公開し、Oracleが提供するOSS系プロダクトである MySQL と Oracle VM VirtualBox についても複数の脆弱性の修正を含めました。とくにMySQL領域は20件、Virtualization領域は14件の新規セキュリティパッチが含まれ、いずれも「認証不要で遠隔悪用可能(Remote Exploitable without Authentication)」な脆弱性が含まれる可能性がある、としています。
CPU全体では 337件の新規セキュリティ修正が含まれます。
目次
MySQL(MySQL Server/Docker Images/Connectors/Workbench など)
Webアプリや業務システムのDBとして利用される MySQL では、リモートから無認証で悪用され得る項目が含まれ、特に「外部公開されている MySQL」や「MySQL 公式/派生の Docker イメージ運用」は優先度が上がります。影響版は MySQL Server 8.4系・9.x系などが挙げられています。
-
CVE-2025-6965(CVSS 9.8):MySQL Server の Docker Images(SQLite)に関係し、MySQL プロトコル経由で遠隔・無認証で悪用され得ると記載されています(対象:8.4.0–8.4.7 / 9.0.0–9.2.1 / 9.3.0)。
-
CVE-2025-9230(CVSS 7.5):OpenSSLに関係し、Connectors/Enterprise Backup/Server Packaging/Workbench などで 遠隔・無認証の条件が示されています。
-
CVE-2025-9086(CVSS 7.5):curlに関係し、上記と同様に MySQL 周辺コンポーネントで 遠隔・無認証の条件が示されています。
対応の要点:DB本体だけでなく、Dockerイメージ、周辺ツール(Workbench/Connectors等)、同梱OSS(OpenSSL/curl/SQLite等)まで含めて、Oracle が提供する 1月CPU適用版(修正済み版)へ更新を急ぐのが現実的です。加えて、更新までの間は MySQL ポートの露出を最小化し、接続元制限(FW/VPN)を徹底するのが定石です。
Oracle VM VirtualBox
開発環境や検証用途で幅広く使われる VirtualBox では、ネットワーク隣接(Adjacent)から狙えるものと、ローカル条件で権限昇格等につながり得るものが並びます(影響版として 7.1.14 / 7.2.4 が明記)。
-
CVE-2026-21982(CVSS 7.5):TCP / Adjacent、遠隔・無認証で悪用され得る条件が示されています(対象:7.1.14 / 7.2.4)。
-
CVSS 8.2 の複数件(例:CVE-2026-21955/21956/21987/21988/21990 など):攻撃ベクトルは Localで、権限要件は高め(High)ですが、影響が High(機密性・完全性・可用性)とされる項目が並びます。
-
CVE-2026-21986(CVSS 6.5):注記として「Windows ゲストVMのみ」等の条件が付されています。
対応の要点:VirtualBox は「ホスト/ゲスト/ネットワーク設定」の組み合わせでリスクが変わるため、まずは 7.1.14/7.2.4 の該当環境を洗い出し、CPU適用(更新)を優先。特に 隣接ネットワークから到達し得る構成(開発拠点LANでの共有など)は優先度が上がります。
Java SE / GraalVM for JDK(実行環境・開発基盤)
CPUでは Java SE について「11件すべてが遠隔・無認証で悪用され得る」と明記されています。GraalVM for JDK も同じ枠で影響が示されており、サーバアプリの実行基盤として使っている場合は見落としやすいポイントです。
-
CVE-2025-43368(CVSS 7.5):JavaFX(WebKitGTK)で 遠隔・無認証の条件が示されています(例:8u471-b50)。
-
CVE-2025-7425(CVSS 7.5):JavaFX(libxslt)で 遠隔・無認証の条件が示されています。
-
CVE-2026-21945(CVSS 7.5):Java SE/GraalVM for JDK/GraalVM EE にまたがる Securityコンポーネントで 遠隔・無認証の条件が示されています(8u471/11.0.29/17.0.17/21.0.9/25.0.1 など)。
対応の要点:アプリ側の依存関係だけでなく、実行ランタイム(JDK/JRE)自体の更新が必要です。特に JavaFX を含む配布形態や、GraalVM を使った実行環境は棚卸し対象に入れるのが安全です。








