Ciscoは水曜日、認証バイパス、リモートコード実行、権限昇格、および情報開示に悪用される可能性のある2つの致命的および6つの高深刻度の脆弱性の修正を発表しました。
CVE-2026-20160として追跡される致命的なバグの1つは、Cisco Smart Software Manager On-Prem(SSM On-Prem)に影響を与え、攻撃者が誤って露出した内部サービスを悪用して任意のコマンドを実行することを許可する可能性があります。
「攻撃者は、露出したサービスのAPIに細工されたリクエストを送信することでこの脆弱性を悪用することができます。悪用が成功した場合、攻撃者は基礎となるオペレーティングシステムでルートレベルの権限でコマンドを実行できる可能性があります」とCiscoは述べています。
2番目の致命的な欠陥はCVE-2026-20093で、パスワード変更リクエストの不正な処理に根ざした認証バイパスの問題です。
認証されていない攻撃者は、細工されたHTTPリクエストを脆弱なデバイスに送信し、管理者のものを含むユーザーパスワードを変更することができます。その後、攻撃者は管理者としてシステムにアクセスできます。
水曜日に、Ciscoは攻撃者が機密情報にアクセスすることを許可する可能性のあるEvolved Programmable Network Manager(EPNM)の高深刻度の欠陥と、権限昇格に悪用される可能性のあるSSM On-Premの別の欠陥に修正を適用しました。
同社はまた、任意のコマンドを実行してルート権限を取得するために悪用される可能性のある4つのIntegrated Management Controller(IMC)脆弱性の修正もロールアウトしました。すべての欠陥は、IMCのWebベースの管理インターフェースでユーザーが提供した入力が適切に検証されていないために存在します。
Ciscoによると、4つのセキュリティ欠陥により、UCS Cシリーズおよびeシリーズサーバーを含む、それらに基づくアプライアンスを含む、20以上のエンタープライズネットワーキング製品が影響を受けます。
Ciscoは、これらの脆弱性のいずれかが実際に悪用されていることを認識していないと述べています。追加情報は同社のセキュリティアドバイザリページで見つけることができます。
翻訳元: https://www.securityweek.com/cisco-patches-critical-and-high-severity-vulnerabilities/
