シスコは、Identity Services Engine(ISE)およびISE Passive Identity Connector(ISE-PIC)に存在する重大なコマンド実行脆弱性に対する修正プログラムをリリースしました。
CVE-2026-20181(CVSSスコア9.1)として追跡されているこの問題は、ユーザー入力の検証が不適切であることに起因しています。攻撃者は細工したHTTPリクエストを送信することで、基盤となるオペレーティングシステムにユーザーレベルのアクセスを取得し、さらにroot権限まで昇格させることが可能です。
「Cisco ISEおよびISE-PICの脆弱性により、認証済みのリモート攻撃者が影響を受けるデバイスの基盤OS上で任意のコマンドを実行できる可能性があります。この脆弱性を悪用するには、有効な管理者認証情報が必要です」とシスコは説明しています。
シングルノード構成の場合、攻撃者がこの欠陥を悪用するとサービス拒否(DoS)状態が発生し、未認証のエンドポイントはノードが復旧するまでネットワークにアクセスできなくなる可能性があります。
この問題は、ISEおよびISE-PICのバージョン3.3 Patch 11および3.4 Patch 6のリリースで修正されました。ISEバージョン3.5向けのホットフィックスも提供されており、8月リリース予定のバージョン3.5 Patch 4に含まれる予定です。
今回のアップデートには、CVE-2026-20190として追跡されている高深刻度の情報漏えいの欠陥への対処も含まれています。この欠陥が悪用された場合、未認証の攻撃者がハッシュ化された認証情報などの機密データにアクセスできる可能性があります。
シスコはまた水曜日、WebexアプリやUmbrellaバーチャルアプライアンス、Crosswork Network Controllerに存在する中程度の深刻度の脆弱性に対する修正プログラムもリリースしました。これらは悪意のあるリダイレクト、権限昇格、任意のコマンド実行につながる可能性があるものです。
シスコは、これらのセキュリティ上の欠陥が実際に悪用された事例については確認していないとしています。詳細はシスコのセキュリティアドバイザリページで確認できます。
翻訳元: https://www.securityweek.com/critical-command-execution-vulnerability-patched-in-cisco-ise/
