「Cisco Unified CM」にクリティカル脆弱性 - 実証コードが公開済み
Cisco Systemsは、IP電話やビデオ通話などを管理する企業向けコミュニケーション基盤「Cisco Unified Communications Manager」に脆弱性が判明したとし、アップデートをリリースした。すでに概念実証コード(PoC)も公開済みで、重要度をもっとも高い「クリティカル」へと1段階引き上げ、利用者に対応を呼びかけている。
同社は現地時間2026年6月3日、セキュリティアドバイザリを公開し、サーバサイドリクエストフォージェリ(SSRF)の脆弱性「CVE-2026-20230」について明らかにした。「Cisco Unified Communications Manager(Unified CM)」および「同Session Management Edition(Unified CM SME)」において「WebDialer」サービスを有効化している場合に影響を受ける。
HTTPリクエストに対する入力検証不備に起因。細工したHTTPリクエストを対象機器へ送信することで、認証を必要とすることなくリモートより悪用することが可能。OS上にファイルを書き込み、さらなる攻撃でroot権限へ昇格することも可能だという。
アドバイザリ公開時点で悪用は確認されていないが、同脆弱性の概念実証コード(PoC)の公開が確認されている。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.6」。CVSSにおけるスコアは「高(High)」相当だが、同社はroot権限が取得される影響を踏まえ、アドバイザリの重要度を4段階中もっとも高い「クリティカル(Critical)」へと1段階引き上げている。
同社は「同14」ブランチ向けに修正版となる「同14SU6」を用意した。「同15」ブランチに対してはパッチ「COP」を提供しており、「同15SU5」については2026年9月にリリース予定としている。またパッチ適用までの緩和策として「WebDialer」の無効化を案内している。
(Security NEXT - 2026/06/04 )
ツイート
PR
関連記事
「Zoho Mail for WordPress」にCSRF脆弱性 - 設定改ざんのおそれ
「Android」に月例セキュリティ更新、脆弱性122件を修正 - 悪用の兆候も
「Firefox」が複数の脆弱性を修正 - iOS版のアップデートも
「Ivanti Neurons for ITSM」に高リスク脆弱性 - 定例外パッチを公開
「Cloud Foundry UAA」にEC秘密鍵情報が漏洩するおそれ
米当局、「Oracle WebLogic Server」既知脆弱性の悪用に警鐘
「WebSphere App Server」に複数の深刻な脆弱性 - 暫定パッチ公開
エフサス製サーバ管理ソフト「ServerView Agents for Windows」に複数脆弱性
分散型DB「Apache Ignite」に脆弱性 - 修正版が公開
不正なVPN接続を確立できる「PAN-OS」脆弱性 - 悪用を確認
