米サイバーセキュリティ・インフラセキュリティ庁(CISA)は2025年11月21日、Oracle Fusion Middlewareの「CVE-2025-61757」をKnown Exploited Vulnerabilities(KEV)カタログに追加しました。根拠は「実際の悪用が確認された」ことにあります。
対象はOracle Identity Manager(OIM)における「重要機能に対する認証欠落(Missing Authentication for Critical Function)」で、認証を経ずに本来保護されるべき機能へ到達できるリスクが指摘されています。
CISAは連邦政府機関に対しBOD 22-01に基づく期日内の是正を要求し、民間を含む全組織にもKEV掲載CVEの優先是正を強く推奨しています。
CVE-2025-61757)の概要
研究者の分析では、OIMの一部エンドポイントで認証が適用されない経路が存在し、URLに特定文字列を付与することで本来は認証が必要なパスへ不正到達できる挙動が確認されています。実例として、URL末尾に「;.wadl」を挟み込むことでテンプレートやスクリプト系エンドポイントにアクセスでき、任意コード実行(RCE)へつながるおそれが示されています。
Oracleは本件を2025年10月21日のCritical Patch Update(CPU)で修正済みですが、パッチ公開前(8/30〜9/9)から当該パターンを狙うPOSTリクエストが観測されました。
複数の送信元IPが共通の古いChrome系UAを用い、約556バイトのペイロードを繰り返し投下していたこと、さらに他製品の既知脆弱性パス(例:LiferayのOpenSSO設定テスト、Log4j関連)も同一インフラで走査されていたことが記録されています。
影響とリスク
-
認証回避 → 管理/実行系API到達 → RCE の短い攻撃鎖が成立。
-
侵入後は設定改ざん、権限昇格、データ窃取、横展開が現実的。
-
パッチ公開前から探索・試行が観測されており、未適用環境=高リスクの状態が続いている可能性。








