Ciscoの複数ネットワーク管理製品に深刻な脆弱性 - 認証回避や遠隔操作のおそれ
一方、同社のSD-WANソリューションである「Cisco SD-WAN Solution Software」では、細工したパケットによりバッファオーバーフローが生じる脆弱性「CVE-2020-3375」が判明した。「CVSSv3」のベーススコアは「9.8」、重要度は「クリティカル(Critical)」。脆弱性を悪用することで、認証なしにリモートよりroot権限でコマンドの実行など操作が可能になるという。
さらに管理ツールである「Cisco SD-WAN vManage Software」のウェブ管理インタフェースにおいても認証回避の脆弱性「CVE-2020-3374」が判明した。「CVSSv3」のベーススコアは「9.9」とさらに高く、重要度は「クリティカル(Critical)」。
悪用にはユーザー認証が必要となるが、HTTP通信を細工して認証をバイパスすることで、本来持つ権限以上の操作がリモートより可能。機密情報の漏洩や設定の変更などが行われるおそれがある。
同社はこれら製品に関して脆弱性を修正するアップデートをリリース。利用者へ注意を呼びかけている。
(Security NEXT - 2020/08/04 )
ツイート
関連リンク
PR
関連記事
マルウェア対策ソフト「ClamAV」に複数脆弱性 - Cisco製品にも影響
「Firefox」にメモリ破壊の脆弱性 - 任意コード実行のおそれ
「Cisco Unified CM」のSSRF脆弱性、悪用に注意
「macOS Tahoe 26.5.2」公開 - 脆弱性37件を修正
「IBM Db2」に深刻な脆弱性 - 暫定的な修正を提供
米当局、「SharePoint Server」の脆弱性悪用に注意喚起
「Apache Tomcat」に複数脆弱性 - 「クリティカル」との評価も
「NetScaler ADC/Gateway」に複数脆弱性 - アップデートで修正
「Adobe ColdFusion」に複数の深刻な脆弱性 - 早急に対応を
「iOS/iPadOS 26.5.2」を公開、脆弱性37件を修正

