JVNDB-2026-013053

オラクルのOracle GraalVM等の複数製品におけるリソースの枯渇に関する脆弱性

Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition製品のOracle Java SE（コンポーネント：JSSE）における脆弱性です。影響を受けるサポート対象バージョンは、Oracle Java SEが8u481、8u481-b50、8u481-perf、11.0.30、17.0.18、21.0.10、25.0.2、26であり、Oracle GraalVM for JDKは17.0.18および21.0.10、Oracle GraalVM Enterprise Editionは21.3.17です。認証されていない攻撃者がネットワーク経由のHTTPSアクセスを利用して容易に悪用可能な脆弱性であり、Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Editionが侵害される可能性があります。この脆弱性を悪用した攻撃に成功すると、Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Editionで部分的なサービス拒否（部分的なDoS）が発生する可能性があります。注：この脆弱性は指定されたコンポーネントのAPI（例：APIにデータを供給するWebサービス）を使用することで悪用される可能性があります。また、信頼されないコード（例：インターネットから取得したコード）を読み込み実行し、Javaサンドボックスに依存してセキュリティを確保しているサンドボックス化されたJava Web Startアプリケーションやサンドボックス化されたJavaアプレットを実行するクライアントのJava展開にも適用されます。CVSS 3.1基本スコアは5.3（可用性への影響）です。CVSSベクターは(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)です。

オラクル

• JDK 1.8.0
• JDK 11.0.30
• JDK 17.0.18
• JDK 21.0.10
• JDK 25.0.2
• JDK 26
• JRE 1.8.0
• JRE 11.0.30
• JRE 17.0.18
• JRE 21.0.10
• JRE 25.0.2
• JRE 26
• Oracle GraalVM 21.3.17
• Oracle GraalVM for JDK 17.0.18
• Oracle GraalVM for JDK 21.0.10

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアの一部が停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

オラクル

• Oracle Security Alert : Oracle Critical Patch Update Advisory - April 2026

1. リソースの枯渇(CWE-400) [その他]

1. CVE-2026-22021

1. National Vulnerability Database (NVD) : CVE-2026-22021

• [2026年04月28日]
    掲載