- Cisco ISE/ISE-PICのCVE-2026-20029により、悪意のあるXMLアップロードを介して任意のファイル読み取りが可能
- 悪用には有効な管理者認証情報が必要。回避策は存在せず、修正はパッチ適用のみ
- PoCエクスプロイトが公開済み。過去のISEの欠陥から、攻撃者が企業のネットワークアクセス制御を積極的に狙っていることが分かる
Ciscoは、概念実証(PoC)エクスプロイトが存在する、Identity Services Engine(ISE)およびISE Passive Identity Connector(ISE-PIC)の中程度の深刻度の脆弱性を修正しました。
Ciscoが公開したセキュリティアドバイザリによると、この不具合は、影響を受けるツールのWebベース管理インターフェースで処理されるXMLの解析が不適切であることに起因します。
CVE-2026-20029として追跡され、深刻度スコア4.9/10(中)と評価されたこの不具合により、管理者権限を持つ未認証のリモート攻撃者が機密情報にアクセスできる可能性があります。
パッチと回避策
悪意のあるファイルをアプリケーションにアップロードすることで、攻撃者は基盤となるオペレーティングシステム上の任意のファイルを読み取れる可能性があり、機密性の高い個人情報やプライベート情報にアクセスされる恐れがあります。この脆弱性を悪用するには、脅威アクターが有効な管理者認証情報を持っている必要があります。
Ciscoは、この脆弱性に回避策は存在せず、問題に対処する唯一の方法はアプリケーションにパッチを適用することだと警告しています。バージョンによって適用すべきパッチが異なるため、正しいものを適用してください。
3.2より前 – 修正済みリリースへ移行
3.2- 3.2 Patch 8
3.3- 3.3 Patch 8
3.4- 3.4 Patch 4
3.5 – 影響なし
このネットワーク大手は、現時点でこの脆弱性が実環境で積極的に悪用されている証拠は確認していないとしつつも、概念実証コードが利用可能であることは認めています。言い換えれば、この不具合によって組織が機密ファイルを失う事例が発生するのは時間の問題です。
Cisco Identity Services Engine(ISE)は、組織が誰が何をネットワークにアクセスできるかを集中管理する必要がある中規模から大規模の企業環境で最も一般的に使用されています。そのため、サイバー犯罪者にとって人気の標的となっています。
2025年11月には、「高度な」脅威アクターが、ISEの10/10のゼロデイを利用してカスタムのバックドア型マルウェアを展開していたことが判明しました。
2025年6月には、CiscoがISEおよびCustomers Collaboration Platformにおける3つの不具合を修正しており、その中には公開された概念実証エクスプロイトを伴う重大度の高い問題も含まれていました。
