Cisco、セキュリティアドバイザリ3件を公開 - 一部でPoCが公開済み

Cisco Systemsは現地時間4月17日、3件のセキュリティアドバイザリを公開した。脆弱性を修正するアップデートや回避策を提供している。

今回リリースしたアドバイザリのうち2件は、「Cisco Integrated Management Controller（IMC）」に関する脆弱性としている。

「CVE-2024-20295」は、コマンドラインインタフェースにおけるコマンドインジェクションの脆弱性。入力検証の不備に起因し、悪用にはローカル環境において一定の権限が必要だが、root権限を取得されるおそれがある。

またウェブ管理インタフェースにおいてもコマンドインジェクションの脆弱性「CVE-2024-20356」が判明した。管理者としてアクセスできる場合にroot権限へ昇格することができる。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「CVE-2024-20295」が「8.8」、「CVE-2024-20356」が「8.7」と評価されており、いずれも重要度は上から2番目にあたる「高（High）」とレーティングされている。

（Security NEXT - 2024/04/18 ） ツイート

PR

関連記事

修学旅行の添乗員が生徒の個人情報含む資料を紛失 - 北広島市
VPNに不正アクセス、サーバも侵害被害 - アルプスアルパイン
委託先がランサム被害、サーバ内部に組合員の個人情報 - コープいしかわ
SAP、5月の定例アップデート15件を公開 - 2件は「クリティカル」
ウェブサーバ「nginx」に複数脆弱性 - 「クリティカル」も
Adobe、「Adobe Commerce」など10製品に向けてアップデート
「FortiOS」にFortinet製ネットワーク機器から悪用可能な脆弱性
ビデオ会議ツール「Zoom」のWindows版などに脆弱性
キヤノン製プリンタ、複合機に情報取得の脆弱性 - 162モデルに影響
Apple、「macOS Tahoe 26.5」を公開 - 脆弱性79件を修正