「Cisco Unified CM」など脆弱性2件の悪用に注意喚起 - 米当局

米当局は、Ciscoのコミュニケーション基盤ソフトとPTCの業務ソフトに判明した脆弱性が悪用されているとして注意喚起を行った。早急な対策を求めている。

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は現地時間2026年6月25日、「悪用が確認された脆弱性カタログ（KEV）」へ「CVE-2026-20230」「CVE-2026-12569」を追加した。米行政機関に対し、同月28日までに対策を講じるよう求めた。

「CVE-2026-20230」は、IP電話やビデオ通話などを管理する企業向けコミュニケーション基盤「Cisco Unified Communications Manager（Unified CM）」に判明したサーバサイドリクエストフォージェリ（SSRF）の脆弱性。

セキュリティアドバイザリが公開された現地時間2026年6月3日の時点で悪用は確認されていなかったが、当時より概念実証コード（PoC）の公開が確認されていた。今回、悪用が確認されたとして注意が呼びかけられている。

一方、「CVE-2026-12569」は、製品ライフサイクル管理などに使われるPTCの「Windchill」および「FlexPLM」における入力検証不備の脆弱性。認証を必要とすることなく、リモートから任意のコードを実行されるおそれがある。

CISAではこれら脆弱性について、米行政機関に対し、3日後となる現地時間2026年6月28日までに対策を講じるよう求めた。また広く注意を呼びかけている。

（Security NEXT - 2026/06/26 ）ツイート