Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Cisco SWA」に脆弱性、順次アップデートを公開

Cisco Systemsは、「Cisco Secure Web Appliance」に権限昇格が可能となるコマンドインジェクションの脆弱性が明らかになったとしてアップデートをリリースした。

従来「Cisco Web Security Appliance(WSA)」として提供していた「Cisco Secure Web Appliance」に搭載されている「Cisco AsyncOS」に権限昇格の脆弱性「CVE-2022-20871」が明らかとなったもの。

ウェブ管理インタフェースにおいて入力内容の検証に不備があり、認証後に細工したパケットを送信することでOSで任意のコマンドを実行し、root権限を取得することが可能になるという。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「6.3」、脆弱性の重要度は4段階中、上から2番目にあたる「高(High)」とレーティングしている。悪用は確認されていない。

同社は「Cisco AsyncOS 14.5.0-537」をリリース。「同14.0」系のアップデートは8月、「同12.5」系のアップデートは9月にリリースする予定だという。

(Security NEXT - 2022/08/19 ) このエントリーをはてなブックマークに追加

PR

関連記事

「NATS Server」の一部APIに深刻な脆弱性 - アップデートを
ランサムウェア対応を学べる無償教材 - 実被害事例を参考に構成
Oracle、四半期パッチで脆弱性のべ378件に対応 - CVSS値9以上が40件
学生向け案内メールに別学生情報、差込用データに不備 - 小樽商科大
高校で生徒の個人情報含む出席簿を紛失 - 東京都
6月に「サイバー防衛シンポジウム熱海」 - 柔軟で先進的な対策を議論
サーバに不正アクセス、取引先や株主情報など流出 - 研創
IIJメールサービス設備内に不正プログラム - 最大6493契約で情報漏洩のおそれ
海外子会社がランサム被害、情報流出など影響を調査 - ローツェ
「Microsoft Edge」固有の脆弱性をアップデートで解消 - MS