Cisco IOS XE無線LANコントローラに脆弱性 - root権限奪取のおそれ
Cisco Systemsは現地時間2025年5月7日、セキュリティアドバイザリを公開し、「Cisco IOS XE」に実装されている無線LANコントローラの深刻な脆弱性を明らかにした。
「JSON Web Token(JWT)」がハードコードされており、認証を必要とすることなく、ファイルをアップロードできる脆弱性「CVE-2025-20188」が確認されたもの。脆弱性を悪用されるとリモートよりroot権限で任意のコマンドを実行されるおそれがある。
同脆弱性は、「Out-of-Band Access Point(AP)」の画像ダウンロード機能に存在。同機能はデフォルトで無効となっているが、一部機器で機能を有効化すると、細工されたHTTPSリクエストによって任意のファイルをアップロードしたり、パストラバーサルが可能となる。
同社は、共通脆弱性評価システム「CVSSv3.1」のベーススコアを最高値である「10.0」と評価。重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングした。
同社内部のセキュリティテストで発見したとしており、アドバイザリの公開時点で同脆弱性の悪用や情報公開などは確認されていない。
同社は脆弱性を修正するアップデートを提供。画像ダウンロード機能を無効化する緩和策などもアナウンスしており、早急に対策を講じるよう利用者に呼びかけている。
(Security NEXT - 2025/05/08 )
ツイート
PR
関連記事
「Firefox 149」で脆弱性46件を修正、延長サポート版も公開
「PyTorch」向け拡張ライブラリ「NVIDIA Apex」にクリティカル脆弱性
「IDrive」Windows向けクライアントに脆弱性 - アップデートは準備中
「Xerox FreeFlow Core」に深刻な脆弱性、対策の実施を
「Google Chrome」に8件の脆弱性 - アップデートが公開
「MS Edge」にアップデート - 脆弱性22件を解消
「MS Edge」も2度にわたり更新 - ゼロデイ脆弱性を解消
「Harbor」に脆弱性、初期PW未変更で不正アクセスのおそれ
S3互換の「MinIO」に脆弱性 - OSS版は開発終了で未修正
「NetScaler ADC/Gateway」に深刻な脆弱性 - 最新版へ更新を
