Ciscoは、Identity Services Engine(ISE)およびISE Passive Identity Connector(ISE-PIC)製品に影響する、新たに発見された2つの脆弱性に対応する緊急のセキュリティアドバイザリを発表しました。
これらの欠陥はエンタープライズ環境に深刻な脅威をもたらし、攻撃者が悪意のあるコードを実行し、重要なシステムを侵害する可能性があります。
Cisco Identity Services Engine(ISE)は、ネットワークアクセスポリシーを実行し、ユーザーを認証し、企業インフラ全体のデバイス接続を管理するために広く使用されています。
新たに開示された問題は、ISEおよびISE-PICのWebベースの管理インターフェースに影響を与え、特定の条件下で攻撃者がそれらをリモートで悪用することを可能にします。
この脆弱性は、HTTPリクエスト内のユーザー入力の不正な検証に起因しています。特別に細工されたデータを送信することで、認証された攻撃者は基盤となるオペレーティングシステム上で任意のコマンドを実行できます。
悪用が成功すると、攻撃者はユーザーレベルのアクセス権を取得でき、これはroot権限に簡単にエスカレートでき、デバイスに対する完全な管理制御を与える可能性があります。
シングルノードISEデプロイメントでは、この攻撃はサービス拒否(DoS)状態をトリガーすることもでき、影響を受けたノードが復元されるまでユーザーとエンドポイントをネットワークからロックアウトします。
2番目の欠陥であるCVE-2026-20148は、CVSSスコア4.9(中程度)で、パストトラバーサルを許可する不正な入力検証に起因しています。
認証された攻撃者はそれを悪用してシステムから機密ファイルを読み取り、標準のディレクトリ制限をバイパスし、内部設定データを露出させることができます。
これらの脆弱性は独立して動作していますが、悪用された場合は両方ともネットワーク整合性に大きな危険をもたらします。Ciscoは利用可能な回避策または一時的な軽減策がないことを確認し、顧客が提供されたソフトウェアアップデートを遅延なく適用するよう促しています。
管理者はCiscoのパッチ推奨事項に従って影響を受けるシステムをアップグレードする必要があります:
これらの脆弱性は、TrendAI ResearchのJonathan Leinによって責任を持ってCiscoに報告されました。
同社の製品セキュリティインシデント対応チーム(PSIRT)は、現在、公開されたプルーフオブコンセプトエクスプロイトまたはアクティブな攻撃は知られていないと述べました。
それでも、CVE-2026-20147の深刻さを考えると、脅威者が修正を逆エンジニアリングしようとする前に、セキュリティチームは脆弱性管理ルーチンの一部としてパッチの優先順位を付けることを強く勧められています。
