Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Cisco Unified CM」のSSRF脆弱性、悪用に注意

Cisco Systemsは、「Cisco Unified Communications Manager(Unified CM)」の脆弱性「CVE-2026-20230」が悪用されているとし、注意を呼びかけた。

同社は2026年6月3日にアドバイザリを公開し、同脆弱性について明らかにしていたが、7月1日にアドバイザリの内容を更新。公開当初より実証コードの存在を明らかにしていたが、実際に脆弱性が悪用されていることを6月に確認したという。

細工したHTTPリクエストを送信することで、認証を必要とすることなく、リモートよりサーバサイドリクエストフォージェリ(SSRF)攻撃を行うことができ、基盤として動作するOS上にファイルを書き込むことができる。

デフォルト設定では無効となっている「WebDialer」を有効化している場合に脆弱性の悪用が可能としている。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.6」だが、root権限への昇格につながるおそれもあることを踏まえ、同社では重要度を1段階高い「クリティカル(Critical)」と評価。利用者に対してアップデートを強く推奨している。

同脆弱性に関しては、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)においても、2026年6月25日に同脆弱性を「悪用が確認された脆弱性カタログ(KEV)」へ追加しており、注意を呼びかけていた。

(Security NEXT - 2026/07/02 ) このエントリーをはてなブックマークに追加

PR

関連記事

「macOS Tahoe 26.5.2」公開 - 脆弱性37件を修正
「IBM Db2」に深刻な脆弱性 - 暫定的な修正を提供
米当局、「SharePoint Server」の脆弱性悪用に注意喚起
「Apache Tomcat」に複数脆弱性 - 「クリティカル」との評価も
「NetScaler ADC/Gateway」に複数脆弱性 - アップデートで修正
「Adobe ColdFusion」に複数の深刻な脆弱性 - 早急に対応を
「iOS/iPadOS 26.5.2」を公開、脆弱性37件を修正
「Adobe Campaign Classic」に悪用リスクが高い脆弱性
「Chrome」にアップデート - 382件の脆弱性に対応
サポートツール「SimpleHelp」の脆弱性悪用を確認 - 米当局が注意喚起