シスコ、3つの重大な脆弱性を修正 – 詳細はこちら

Cisco Identity Services Engine（ISE）およびCisco ISE Passive Identity Connector（ISE-PIC）に重大な脆弱性があり、認証されていないリモートの攻撃者がルート権限でコマンドを発行できる可能性があると、シスコは7月17日のアドバイザリで発表した。

シスコは、特定のソフトウェア バージョンに対する拡張修正を含む、この問題に対する複数のパッチをリリースしました。

これらの脆弱性は、トレンドマイクロ ゼロデイ イニシアティブに協力する Ierae によって、トレンドマイクロ ゼロデイ イニシアティブの Bobby Gould 氏と GMO サイバーセキュリティの川根健太郎氏によって報告されました。

この脆弱性により任意のコード実行が可能になる

Ciscoのパッチは、CVE-2025-20281、CVE-2025-20337、CVE-2025-20282の3つの脆弱性に対処します。いずれも任意コード実行の脆弱性ですが、相互に関連性はなく、同時に悪用されなくても効果を発揮します。

CVE-2025-20281およびCVE-2025-20337は、Cisco ISEおよびCisco ISE-PICにおいてリモートコード実行の脆弱性を突くものです。攻撃者は、ユーザ入力の検証が不十分なことを悪用した、細工されたAPIリクエストを送信することで、ルートレベルの権限を付与される可能性があります。

CVE-2025-20282はCisco ISEおよびISE-PICリリース3.4に影響します。この脆弱性により、攻撃者は細工したファイルをデバイスにアップロードすることが可能です。ファイル検証が不十分なため、ファイルが特権ディレクトリに配置され、攻撃者が任意のコードを実行したり、ルートアクセスを取得したりする可能性があります。

シスコ社は、これらの脆弱性を悪用した事例は認識していないと述べた。

脆弱性を修正する方法

次のバージョンを実行している場合、Cisco ISE にはこれらの脆弱性に対するパッチが適用されます。

• リリース 3.4 パッチ 2
• リリース 3.3 パッチ 6 (リリース 3.3 パッチ 7 を含む)

シスコはこれらのパッチ以前にもホットパッチをリリースしていましたが、上記のバージョンに置き換えられました。また、同社はアップデートの適用方法に関するガイドも提供しています。

シスコからのその他のニュース

サイバーセキュリティ関連のニュースとして、約1か月前、シスコのセキュリティインテリジェンス部門であるTalosが、生成AIの謳い文句をマルウェア拡散の餌として利用する脅威アクターグループを発見しました。攻撃者は、実在する企業のウェブサイトを偽装し、「Cyber​​Lock」と呼ばれるランサムウェアを拡散させていました。このランサムウェアは、被害者のコンピュータ上の特定の文書をロックするものでした。偽サイトは、ChatGPTのダウンロード版を謳っていました。

一方、シスコはサイバーセキュリティ教育のより広範な推進の一環として、3月に欧州連合（EU）全域でデジタルスキル研修プログラムを開始しました。シスコのネットワーキングアカデミーを通じて提供される無料コースは、より多くの人々にネットワークとサイバーセキュリティに関する必須スキルを身につけてもらうことを目的としています。

重要なパッチの詳細をご覧ください。今回は、Microsoft SharePoint のリモート コード実行の脆弱性に関するパッチです。