Ciscoがアドバイザリ3件をリリース - 一部で悪用コードが利用可能
Cisco Systemsは現地時間2025年1月22日、同社製品に関する3件のセキュリティアドバイザリを公開した。一部脆弱性はすでに悪用コードが利用可能だという。
「Cisco Meeting Management」の「REST API」における認可の不備「CVE-2025-20156」をはじめ、3件のセキュリティアドバイザリを公開したもの。「CVE-2025-20156」については権限昇格のおそれがあり、重要度を「クリティカル(Critical)」とレーティングしている。
さらに「Cisco BroadWorks」では、SIPリクエスト処理においてサービス拒否の脆弱性「CVE-2025-20165」が判明した。認証なしに悪用が可能で、メモリの枯渇を引き起こすことが可能。CVSS基本値は「7.5」、重要度は重要度が「高(High)」とレーティングされている。
また「ClamAV」の「OLE2復号化ルーチン」にヒープバッファオーバーフローの脆弱性「CVE-2025-20128」が判明。WindowsやmacOS、Linux向けに提供している「Secure Endpoint Connector」が影響を受けるという。
スキャンプロセスを終了させ、サービス拒否を引き起こすことが可能としており、CVSS基本値が「5.3」、重要度は「中(Medium)」とした。
脆弱性の判明を受けて、同社は各製品に向けてアップデートをリリース。いずれの脆弱性も悪用は確認されていないが、「CVE-2025-20128」については、すでに概念実証のエクスプロイトコードが利用可能な状況としており、注意が必要となる。
(Security NEXT - 2025/01/24 )
ツイート
関連リンク
PR
関連記事
データ分析可視化製品「Ivanti Xtraction」に複数脆弱性
「FortiOS」に複数脆弱性 - アップデートで修正
「Microsoft Defender」に権限昇格の脆弱性 - 修正を実施
フィッシングURLが約4割減 - リンク使い回しも影響
「Firefox」にクリティカル脆弱性 - 攻撃コード公開、悪用は未確認
「nginx」に複数脆弱性、「クリティカル」も - 修正版を公開
「Dell PowerFlex」に深刻な脆弱性 - 6月の更新で修正済み
米CISA、「FortiSandbox」「SharePoint」の脆弱性悪用を警告
委託先コンサルが個人情報含む記憶媒体を紛失 - 旭市
職員が患者情報を使用、他医療機関の開業を案内 - 済生会宇都宮病院
