　セキュリティ機関SANS Internet Storm Centerは2019年4月25日（現地時間）、OracleのWebアプリケーションサーバ「WebLogic」に未解決の脆弱（ぜいじゃく）性が報告されたことを同社のブログで報告した。今回の脆弱性は、中国企業によって発見され、中国国家脆弱性データベースに情報が掲載された。影響はWebLogicの現行バージョンも含めた全バージョンに及ぶという。

SANS Internet Storm Center

　この脆弱性については、Oracleが2018年4月の「クリティカルパッチアップデート」（CPU）で修正したはずの、WLSコアコンポーネントの脆弱性（CVE-2018-2628）と一致するとの指摘もある。この脆弱性の危険度は、共通脆弱性評価システム（CVSS）で「9.8」（最大値は10.0）と極めて高い。そのため今回Oracleのパッチが、不完全だった可能性がある。

　中国のセキュリティ企業KnownSecは2019年4月21日、この脆弱性について報告し、WebLogicの「wls9_async」「wls-wsat」コンポーネントにデシリアライズの脆弱性があり、悪用されればリモートでコードを実行される恐れがあると指摘した。当面の対策として、「wls9_async_response.war」「wls-wsat.war」を削除して、WebLogicサービスを再起動する方法などを紹介している。

　Oracle製品の脆弱性を修正する四半期に一度のCPUは、2019年4月16日に公開されたばかり。次のCPU公開は2019年7月16日になる予定で、Oracleが定例外のアップデートで対処する可能性もある。

米Oracle、定例セキュリティ更新プログラム公開　データベースやFusion Middlewareに深刻な脆弱性
Oracle Databaseをはじめ、Fusion MiddlewareやMySQL、Java SEなど多数の製品を対象に、計297件の脆弱性が修正された。
Oracle、定例セキュリティ更新プログラムを公開　計284件の脆弱性を修正
Database ServerやJava SEをはじめ、Oracleの多数の製品を対象として、合計で284件の脆弱性を修正している。
Google Chromeの脆弱性、実は「ゼロデイ」だった
Googleは「Chrome 72」の更新版で修正した脆弱性について、悪用コードが出回っているとの報告が入っていたことを明らかにした。
Windowsに未解決の脆弱性報告、任意のコード実行の恐れ
脆弱性はVCardファイル（VCF）の処理に起因する。悪用されれば、リモートの攻撃者に任意のコードを実行される恐れがある。