Ciscoは、Identity Services Engine(ISE)およびISE Passive Identity Connector(ISE-PIC)に存在する重大な脆弱性に関するセキュリティアドバイザリを公開しました。この脆弱性により、管理者権限を持つ認証済み攻撃者が、影響を受けるシステム上の機密情報にアクセスできる可能性があります。
CVE-2026-20029として追跡されているこの脆弱性は、Webベースの管理インターフェースにおける不適切なXML解析に起因し、CVSSスコアは4.9です。
この欠陥は、Cisco ISEおよびISE-PIC製品のライセンス機能に存在します。攻撃者は、悪意のあるファイルをアプリケーションにアップロードし、XML External Entity(XXE)インジェクションを悪用することで、基盤となるオペレーティングシステムから任意のファイルを読み取ることができます。
これには、管理者であってもアクセスできない状態に保たれるべき機密データが含まれます。攻撃を実行するには、脅威アクターが有効な管理者認証情報を保有している必要があるため、攻撃対象は内部関係者、または管理者アカウントを侵害した者に限定されます。
この脆弱性は、デバイス構成に関係なくCisco ISEおよびISE-PICのすべてのバージョンに影響し、これらのID管理ソリューションに依存する組織にとって広範な懸念事項となります。
同社は本件を中程度の深刻度の問題に分類し、サポート対象の製品バージョン全体にわたってパッチを提供しました。
Cisco ISEのバージョン3.2より前を運用している組織は、修正済みリリースへ直ちに移行するよう強く求められています。
バージョン3.2のユーザーはパッチ8へ、バージョン3.3のユーザーもパッチ8が必要です。バージョン3.4のユーザーにはパッチ4が必要で、バージョン3.5は影響を受けません。回避策は提供されておらず、修正手段はパッチ適用のみです。
この脆弱性は、Trend Micro Zero Day InitiativeのBobby Gould氏により責任ある開示が行われ、エンタープライズ向けセキュリティアプライアンスにおけるXML処理に伴う継続的なリスクを浮き彫りにしています。
ID基盤を管理する組織は、特に複数のISE展開がある環境において、パッチ適用を優先すべきです。
翻訳元: https://cyberpress.org/cisco-identity-services-engine-vulnerability-2/