Oracleが2026年5月の定例パッチを公開-致命的な脆弱性 CVE-2026-46840など35件を修正

セキュリティニュース

投稿日時: 更新日時:

Oracleが2026年5月の定例パッチを公開-致命的な脆弱性 CVE-2026-46840など35件を修正

Oracleは2026年5月28日、2026年5月のCritical Security Patch Update、CSPUを公開しました。

今回のCSPUでは、Oracle Database Server、Oracle REST Data Services、Oracle Communications Unified Assurance、Oracle E-Business Suite、Oracle Hospitality OPERA 5 Property Servicesの5製品ファミリーを対象に、35件の新規セキュリティパッチが提供されています。

特に注意が必要なのは、Oracle REST Data ServicesのBackend-as-a-Serviceコンポーネントに存在するCVE-2026-46840です。CVSS v3.1の基本値は10.0で、認証なしでネットワーク経由から悪用可能とされています。

また、Oracle E-Business SuiteのOracle Payments、Oracle Hospitality OPERA 5 Property Services、Oracle Database ServerのNet Service、Oracle Communications Unified AssuranceのApache Kafka関連コンポーネントなどにも、高深刻度の脆弱性が含まれています。

この記事のサマリー

  • Oracleは2026年5月28日、2026年5月のCritical Security Patch Updateを公開しました。
  • 今回のCSPUは、Oracleが月次CSPUを開始してから最初のリリースです。
  • 5つのOracle製品ファミリーに対し、35件の新規セキュリティパッチが提供されています。
  • Oracle REST Data ServicesのCVE-2026-46840はCVSS 10.0で、未認証のリモート攻撃が可能とされています。
  • Oracle E-Business Suiteでは12件のパッチが提供され、Oracle PaymentsのCVE-2026-46817はCVSS 9.8です。
  • Oracle Database Serverでは3件すべてが未認証でリモート悪用可能とされ、23.x Oracle Homeへの適用が必要です。
  • Oracle Hospitality OPERA 5 Property Servicesでは、CVE-2026-34311がCVSS 9.8で修正されています。
  • 情報システム部門は、EBS、ORDS、Database 23.x、OPERA 5、Unified Assuranceの利用有無と外部公開状況を優先確認する必要があります。

何が起きたか

Oracleは2026年5月のCSPUとして、5製品ファミリーに対する35件の新規セキュリティパッチを公開しました。

対象製品は以下です。

製品ファミリー 対象バージョン 新規パッチ数 未認証でリモート悪用可能な脆弱性
Oracle Database Server 23.4.0〜23.26.2 3 3
Oracle REST Data Services 24.2.0〜26.1.0 11 7
Oracle Communications Unified Assurance 6.1.1〜7.0.0 8 4
Oracle E-Business Suite 12.2.3〜12.2.15 12 3
Oracle Hospitality OPERA 5 Property Services 5.6.19.24、5.6.22、5.6.25.19、5.6.27.6、5.6.28 1 1

Tenableの分析では、今回の35件のうち11件がCritical、18件がHigh、6件がMediumに分類されています。もっともパッチ数が多い製品ファミリーはOracle E-Business Suiteで、12件が提供されています。

修正された主な重大脆弱性

CVE 製品 コンポーネント CVSS 未認証リモート悪用 概要
CVE-2026-46840 Oracle REST Data Services Backend-as-a-Service 10.0 可能 機密性・完全性・可用性に高い影響
CVE-2026-46817 Oracle E-Business Suite Oracle Payments / File Transmission 9.8 可能 決済関連コンポーネントに影響
CVE-2026-34311 Oracle Hospitality OPERA 5 Property Services Opera 9.8 可能 OPERA 5 Property Servicesに影響
CVE-2026-46833 Oracle Database Server Net Service 9.0 可能 TLS経由で悪用可能、23.x Oracle Homeが対象
CVE-2026-33557 Oracle Communications Unified Assurance Apache Kafka 9.1 可能 Message Busに影響
CVE-2026-46775 Oracle REST Data Services Core 9.9 不可 低権限ユーザーで悪用可能
CVE-2026-46839 Oracle REST Data Services Core 9.9 不可 低権限ユーザーで悪用可能
CVE-2026-46822 Oracle E-Business Suite Oracle iAssets 9.9 不可 低権限ユーザーで悪用可能
CVE-2026-46824 Oracle E-Business Suite Oracle Universal Work Queue 9.9 不可 低権限ユーザーで悪用可能

特に注意すべき脆弱性

CVE-2026-46840:Oracle REST Data ServicesのCVSS 10.0脆弱性

今回のCSPUで最も深刻なのは、Oracle REST Data Services、ORDSのCVE-2026-46840です。

対象はOracle REST Data Services 24.2.0〜26.1.0です。コンポーネントはBackend-as-a-Serviceで、HTTPS経由で認証なしに悪用可能とされています。CVSS v3.1の基本値は10.0です。

ORDSは、Oracle DatabaseへREST APIでアクセスするために使われることがあります。APEX、社内API、業務システム連携、外部公開API、モバイルアプリ連携などに利用される場合があるため、インターネットや社外ネットワークから到達可能なORDS環境は優先的に確認してください。

ORDSが侵害された場合、単なるWebアプリケーションの問題ではなく、背後のOracle Databaseや業務データへ影響が及ぶ可能性があります。ORDSを利用している企業は、バージョン確認、外部公開状況、認証設定、アクセスログを確認する必要があります。

CVE-2026-46817:Oracle E-Business SuiteのOracle Paymentsに影響

CVE-2026-46817は、Oracle E-Business SuiteのOracle Paymentsに存在する脆弱性です。

対象バージョンはOracle E-Business Suite 12.2.3〜12.2.15です。コンポーネントはFile Transmissionで、HTTP経由で認証なしに悪用可能とされ、CVSS v3.1の基本値は9.8です。

E-Business Suiteは、財務、購買、在庫、人事、給与、決済など、基幹業務に関わるシステムとして利用されることがあります。Oracle Paymentsに影響する脆弱性は、決済・支払・送金関連の業務データや内部処理に関係する可能性があるため、EBSを利用している企業では優先度を高く見てください。

Oracleは、E-Business Suite製品がOracle DatabaseやOracle Fusion Middlewareのコンポーネントにも依存するため、EBS環境ではEBS本体だけでなく、関連するDatabaseとFusion Middlewareの更新も確認するよう案内しています。

CVE-2026-46833:Oracle Database Server 23.xのNet Serviceに影響

Oracle Database Serverでは3件の脆弱性が修正されました。いずれも未認証でリモート悪用可能とされています。

中でもCVE-2026-46833は、Net Serviceに存在するCVSS 9.0の脆弱性です。影響バージョンはOracle Database Server 23.4.0〜23.26.2で、TLS経由で悪用可能とされています。

Oracleは、これら3件のDatabase Server脆弱性について、Database、Grid、Clientを含むすべての23.x Oracle Homeへパッチを適用する必要があると説明しています。また、データベース自体が23.xより前のバージョンであっても、23.x Gridの下で稼働している場合、Grid側へパッチを適用するまで影響を受けるとされています。

この点は見落としやすいため、DBサーバだけでなく、Grid Infrastructure、クライアント専用インストール、管理サーバ、バッチサーバ、アプリケーションサーバ上のOracle Clientも確認してください。

CVE-2026-34311:OPERA 5 Property Servicesに影響

CVE-2026-34311は、Oracle Hospitality OPERA 5 Property Servicesに存在する脆弱性です。

対象バージョンは、5.6.19.24、5.6.22、5.6.25.19、5.6.27.6、5.6.28です。HTTP経由で認証なしに悪用可能とされ、CVSS v3.1の基本値は9.8です。

OPERAはホテルや宿泊施設の管理システムとして使われることがあります。宿泊予約、顧客情報、施設運営、会計、チェックイン・チェックアウトなどに関係するため、脆弱性が悪用された場合、業務停止や顧客情報への影響が懸念されます。

宿泊施設やホテル運営会社は、OPERA 5 Property Servicesのバージョン、外部公開状況、ベンダー保守状況、ネットワーク分離を確認してください。

CVE-2026-33557:Oracle Communications Unified Assuranceに影響

CVE-2026-33557は、Oracle Communications Unified AssuranceのMessage Bus、Apache Kafkaに関係する脆弱性です。

対象バージョンは6.1.1〜7.0.0で、TCP経由で認証なしに悪用可能とされ、CVSS v3.1の基本値は9.1です。

Oracle Communications Unified Assuranceは、通信・ネットワーク運用監視に関係する製品です。通信事業者や大規模ネットワーク運用環境で使われる可能性があり、Message Busの脆弱性は監視基盤や運用データの処理に影響する恐れがあります。

影響範囲

今回のCSPUで対象となる製品は、一般的なエンドユーザーPC向けソフトウェアではなく、企業の基幹システムや業務基盤に使われるOracle製品です。

確認対象は以下です。

確認対象 見落としやすいポイント
Oracle REST Data Services APEX、API基盤、社内外公開REST APIで使われる場合があります
Oracle Database Server 23.x DatabaseだけでなくGrid、Client、管理サーバのOracle Homeも確認が必要です
Oracle E-Business Suite EBS本体に加え、DatabaseとFusion Middlewareコンポーネントも確認が必要です
Oracle Communications Unified Assurance 通信・ネットワーク監視基盤に含まれる場合があります
Oracle Hospitality OPERA 5 ホテル・宿泊施設の現場システムとして運用部門が管理している場合があります
外部委託環境 SIer、保守ベンダー、運用委託先がパッチ適用を担当している場合があります
DR・検証環境 本番より古いOracle環境が残っている可能性があります

Oracleは、Premier SupportまたはExtended Supportの対象バージョンにのみCSPUを提供します。サポート対象外バージョンでは、今回修正された脆弱性の有無が検査されていない場合があります。そのため、古いOracle製品を継続利用している場合は、サポート対象バージョンへの移行も必要です。

すぐに実施すべき対応

Step 1:対象Oracle製品の利用有無を確認する

まず、自社で今回の対象製品を利用しているか確認してください。

対象は、Oracle Database Server、ORDS、EBS、Communications Unified Assurance、OPERA 5 Property Servicesです。情報システム部門の台帳だけではなく、業務部門、経理部門、人事部門、ホテル・施設運営部門、通信・ネットワーク運用部門、外部保守ベンダーにも確認してください。

製品 主な確認部門
Oracle Database Server 情シス、DBA、アプリ運用、基盤チーム
Oracle REST Data Services 開発、API基盤、APEX管理、Web運用
Oracle E-Business Suite 経理、人事、購買、ERP運用
Oracle Communications Unified Assurance ネットワーク運用、通信基盤、監視チーム
Oracle Hospitality OPERA 5 ホテル運営、施設システム、現地IT

Step 2:外部公開されているOracle製品を優先する

今回のCSPUでは、未認証でリモート悪用可能な脆弱性が複数含まれています。

優先的に確認すべきなのは、インターネット、取引先ネットワーク、VPN経由、拠点間ネットワークから到達可能なOracle製品です。

確認項目 内容
インターネット公開 ORDS、EBS、OPERA、管理画面が外部公開されていないか
VPN経由アクセス VPN接続後にEBSやDatabaseへ広く到達できないか
API公開 ORDSのREST APIが外部サービスから利用されていないか
ホテル拠点 OPERA 5が現地ネットワークから外部接続されていないか
通信基盤 Unified Assuranceの管理系ポートが広く開いていないか
クラウド環境 セキュリティグループやロードバランサで公開されていないか

Step 3:Oracle REST Data Servicesを優先更新する

ORDSを利用している場合、CVE-2026-46840のCVSS 10.0を優先して確認してください。

特に、以下の環境は早急な対応が必要です。

環境 理由
インターネット公開ORDS 未認証リモート悪用可能な脆弱性の影響が大きい
APEX連携環境 ORDSがAPEXの入口になっている可能性があります
社外API連携 取引先や外部システムから到達可能な場合があります
認証前API 認証前の処理が攻撃対象になる可能性があります
古いORDS 24.2.0〜26.1.0が対象のためバージョン確認が必要です

Step 4:Oracle Database 23.x Oracle Homeを確認する

Database Serverの3件は、すべて未認証でリモート悪用可能とされています。

Oracleは、Database、Grid、Clientを含むすべての23.x Oracle Homeへパッチを適用する必要があると説明しています。

確認対象は以下です。

対象 確認内容
Database Home 23.4.0〜23.26.2に該当するか
Grid Infrastructure 23.x Gridを使っていないか
Client Home アプリケーションサーバや管理端末のOracle Client
RAC環境 全ノードに同じパッチが適用されているか
監視・バックアップサーバ Oracle Clientが古いまま残っていないか
古いDB + 23.x Grid DB本体が古くても23.x Grid配下なら注意が必要です

Step 5:E-Business SuiteはEBS本体だけでなく周辺も確認する

EBSでは12件のパッチが提供されています。うち3件は未認証でリモート悪用可能です。

EBS環境では、Oracle E-Business Suite本体に加えて、Oracle DatabaseとOracle Fusion Middlewareコンポーネントも影響する可能性があります。

確認対象 内容
EBS 12.2.3〜12.2.15 対象バージョンか
Oracle Payments CVE-2026-46817の影響確認
Internet Procurement Connector CVE-2026-46819の影響確認
Oracle Payroll 複数の高深刻度脆弱性を確認
Database EBSのDB基盤に今回のDatabaseパッチが必要か
Fusion Middleware EBSに含まれるミドルウェア側の更新確認

EBSは業務停止の影響が大きいため、検証環境での適用確認、バックアップ、ロールバック手順、業務部門との停止調整が必要です。

Step 6:サポート対象外バージョンを棚卸しする

Oracleは、CSPUのパッチ提供対象をPremier SupportまたはExtended Supportの対象バージョンとしています。

サポート対象外のOracle製品は、今回の脆弱性に影響するか検査されていない可能性があります。特に、古いEBS、古いDatabase、古いOPERA、旧ORDS、保守切れの業務システムは棚卸しが必要です。

確認項目 内容
サポート契約 Premier SupportまたはExtended Support対象か
製品バージョン 今回のCSPU対象か
パッチ入手可否 My Oracle Supportから取得できるか
ベンダー保守 SIerや運用委託先の適用計画
移行計画 サポート対象バージョンへの移行時期
例外管理 すぐ移行できない環境のネットワーク分離

監視で確認すべきポイント

今回のCSPUで修正された脆弱性について、Oracleのアドバイザリは個別の実悪用状況を詳細には公表していません。一方で、Oracleは、過去に修正済みの脆弱性を攻撃者が悪用し、パッチ未適用の顧客環境で攻撃が成功した事例があるとして、速やかな適用を強く推奨しています。

パッチ適用とあわせて、以下を確認してください。

製品 確認すべきログ・兆候
ORDS 不審なHTTP/HTTPSリクエスト、認証前APIへの大量アクセス、500エラー増加
EBS Oracle Payments、Payroll、iAssets、Procurement関連の不審操作
Database Listener、Net Service、TLS接続、異常な接続元
OPERA 5 外部からのHTTPアクセス、不審な管理操作、宿泊施設拠点からの異常通信
Unified Assurance Kafka、ActiveMQ、Tomcat、ZooKeeper関連の異常ログ
WAF・プロキシ Oracle製品のURLに対するスキャン、攻撃文字列、連続試行
SIEM パッチ公開後のOracle関連スキャン増加

Oracle製品のパッチ管理で注意すべき点

Oracle製品のパッチ適用では、単にパッチをダウンロードして適用するだけでは不十分です。

製品ごとに停止時間、依存関係、DBパッチ、ミドルウェアパッチ、アプリケーションパッチ、クライアント側更新が異なります。特にEBSやDatabaseでは、業務影響が大きいため、事前検証とロールバック手順が重要です。

項目 確認内容
影響調査 対象製品・バージョン・コンポーネントを洗い出す
優先順位 未認証リモート悪用可能、CVSS 9以上、外部公開を優先
検証環境 本番と同等構成でパッチ適用テスト
バックアップ DB、アプリケーション、設定、Oracle Homeのバックアップ
停止調整 業務部門、外部ベンダー、利用者への周知
ロールバック パッチ適用失敗時の戻し手順
適用確認 バージョン、パッチID、ログ、動作確認
監視強化 パッチ適用前後の不審アクセスを確認

今後確認すべきこと

Oracleは今後も月次CSPUを提供します。2026年の次回以降のセキュリティリリースは、2026年6月16日がCSPU、2026年7月21日が四半期CPU、2026年8月18日がCSPU、2026年9月15日がCSPUとされています。

Oracle製品を利用する企業は、四半期CPUに加え、月次CSPUもパッチ管理カレンダーへ組み込む必要があります。

今後確認すべき項目は以下です。

確認点 理由
月次CSPUの運用化 四半期CPUだけでは重要修正を待つことになる
Oracle製品の棚卸し EBS、ORDS、OPERA、Database、Clientが分散しているため
外部公開状況 未認証リモート悪用可能な脆弱性の影響が大きいため
サポート対象バージョン サポート外ではCSPUが提供されない可能性があるため
My Oracle Support確認 製品ごとのパッチ適用手順がMOS文書に分かれているため
委託先との責任分界 Oracle製品は外部ベンダーが運用していることが多いため

参考情報・出典