ネットワーキング大手のシスコは、Secure Firewall Adaptive Security Appliance(ASA)、Secure Firewall Management Center(FMC)、およびSecure Firewall Threat Defense(FTD)ソフトウェア製品全体の48個の脆弱性に対するセキュリティパッチをカバーする25個の共同セキュリティアドバイザリを公開しました。
セキュリティアドバイザリは3月4日に公開され、バンドル化された公開文書に含まれています。
最も重大な欠陥であるCVE-2026-20079とCVE-2026-20131は、最大重要度(CVSS)評価の10を有しています。どちらもシスコセキュアFMCソフトウェアに影響します。
CVE-2026-20079は認証バイパス脆弱性です。ブート時に作成される不正なシステムプロセスにより、攻撃者は影響を受けるデバイスに細工されたHTTPリクエストを送信することでこの脆弱性を悪用できます。エクスプロイトが成功した場合、攻撃者はデバイスへのルートアクセスを許可するさまざまなスクリプトとコマンドを実行できます。
CVE-2026-20131はリモートコード実行(RCE)脆弱性です。ユーザーが提供するJavaバイトストリームの安全でない逆シリアル化により、攻撃者は細工されたシリアル化Javaオブジェクトを影響を受けるデバイスのWebベースの管理インターフェースに送信することでこの脆弱性を悪用できます。エクスプロイトが成功した場合、攻撃者はデバイス上で任意のコードを実行し、権限をルートに昇格させることができます。
これらの脆弱性のいずれかを軽減する回避策はありません。シスコはお客様にアドバイザリに示されている修正ソフトウェアにアップグレードするよう促しています。
パッチが当たった残りの脆弱性は、CVSS評価が7.2~8.6の15個の高重大度の欠陥と、CVSS評価が4.3~6.8の31個の中重大度の欠陥で構成されています。詳細はこちら
画像クレジット:PJ McDonnell / Anucha Cheechang / Shutterstock
翻訳元: https://www.infosecurity-magazine.com/news/cisco-issues-patches-48/
