Oracle(オラクル)は現地時間10月21日、四半期ごとのCritical Patch Update(CPU)を公開しました。今回のCPUには374件のセキュリティ修正が含まれ、うち200件超が未認証でリモートから悪用可能な脆弱性に対応します。中でも注目すべきは、Oracle E-Business Suite(EBS)の「Oracle Marketing」に存在する2件のクリティカル欠陥(CVE-2025-53072/CVE-2025-62481)で、CVSS 9.8。条件次第で未認証の攻撃者によりアプリケーションを完全に掌握される恐れがあり、オラクルは即時パッチ適用を強く推奨しています。
何が問題か:EBS「Oracle Marketing」で管理権限相当の取得が可能
今回の2件はMarketing Administrationコンポーネントが標的で、外部から特殊なリクエストを送るだけで、キャンペーンや顧客情報を扱うマーケティング領域のデータと機能一式に深刻な影響が及びます。
-
対象製品/バージョン:Oracle Marketing 12.2.3~12.2.14
-
深刻度:CVSS 9.8(Critical)
-
影響:未認証RCE相当、データ窃取・改ざん、アカウント乗っ取り、横展開の起点 など
CPU全体のハイライト
今回のCPUはEBSに限らず、Database/Fusion Middleware/WebLogic/Java SE/MySQL/PeopleSoft/Communications/Retailなど幅広い製品群を横断して修正が入っています。オラクルは「サポート対象バージョンを維持し、CPUを速やかに適用すること」を繰り返し呼びかけています。なお、10月上旬に個別アラートとして出ていたEBSのCVE-2025-61882/61884も、本CPUで包括的に修正されています。
いますぐ取るべき対策
-
影響範囲の棚卸し
本番・検証を含め、EBS 12.2.3~12.2.14でOracle Marketingが有効なインスタンスを特定。周辺のWebLogic/Middleware/DBの同時適用が必要かも確認します。 -
パッチ適用の優先度付け
まずOracle Marketingの修正を最優先で適用。その後、同CPUに含まれる共通コンポーネント(Apache Tomcat/Commons FileUpload/Netty など)の該当箇所を順次アップデート。 -
変更管理とロールバック準備
事前にアプリ/DBバックアップ、適用手順と戻し手順を整備。パッチ後はビルド番号・主要業務機能(見込み客管理、キャンペーン、ワークフロー、通知)のスモークテストを実施します。 -
露出面の最小化
適用完了までの暫定策として、管理画面のインターネット露出を遮断(VPN必須化、IP制限、WAFルールで未知リクエストを抑止)。 -
侵害有無の点検
Web層/アプリ層のアクセスログ、想定外の管理操作・添付アップロード・スクリプト配置の有無を確認。パッチ後1~2週間は監視を強化し、異常なエラーレートやPOST急増をアラート化します。
スケジュール情報
オラクルのCPUは1月/4月/7月/10月の第3火曜に提供されます。次回は2026年1月20日の予定です。CPUを“スキップしない”方針での運用計画を推奨します。








