概要
Ciscoは、Unified Communications および Webex Calling 製品におけるリモートコード実行 (RCE) ゼロデイ脆弱性「CVE-2026-20045」を修正したことを発表しました。この脆弱性は、すでに実際の攻撃で悪用されていることが確認されています。Ciscoは、顧客に対し、できるだけ早く最新のソフトウェアにアップグレードするよう強く推奨しています。
脆弱性の詳細
「CVE-2026-20045」と追跡されるこの脆弱性は、以下のCisco製品に影響を及ぼします。
- Cisco Unified Communications Manager (Unified CM)
- Unified CM Session Management Edition (SME)
- Unified CM IM & Presence
- Cisco Unity Connection
- Webex Calling Dedicated Instance
この脆弱性は、HTTPリクエストにおけるユーザー提供入力の不適切な検証に起因します。攻撃者は、影響を受けるデバイスのWebベースの管理インターフェースに、巧妙に細工された一連のHTTPリクエストを送信することで、この脆弱性を悪用できます。攻撃が成功した場合、攻撃者は基盤となるオペレーティングシステムへのユーザーレベルのアクセス権を取得し、その後root権限に昇格できる可能性があります。
この脆弱性のCVSSスコアは8.2ですが、Ciscoはサーバーに対するrootアクセスにつながるため、「クリティカル」な深刻度と評価しています。
パッチ情報
Ciscoは、この脆弱性に対処するため、以下のソフトウェアアップデートおよびパッチファイルをリリースしています。パッチはバージョン固有であるため、適用前に必ずREADMEを確認するよう注意を促しています。
Cisco Unified CM, Unified CM IM&P, Unified CM SME, および Webex Calling Dedicated Instance
- リリース12.5: 固定リリースへの移行が必要です。
- リリース14: 14SU5へのアップグレード、またはパッチファイル `ciscocm.V14SU4a_CSCwr21851_remote_code_v1.cop.sha512` の適用。
- リリース15: 15SU4 (2026年3月予定) へのアップグレード、またはパッチファイル `ciscocm.V15SU2_CSCwr21851_remote_code_v1.cop.sha512` もしくは `ciscocm.V15SU3_CSCwr21851_remote_code_v1.cop.sha512` の適用。
Cisco Unity Connection
- リリース12.5: 固定リリースへの移行が必要です。
- リリース14: 14SU5へのアップグレード、またはパッチファイル `ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512` の適用。
- リリース15: 15SU4 (2026年3月予定) へのアップグレード、またはパッチファイル `ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512` の適用。
Ciscoは、この脆弱性を軽減するための回避策は、アップデートをインストールする以外に存在しないと述べています。
緊急性と推奨事項
Ciscoの製品セキュリティインシデント対応チーム (PSIRT) は、この脆弱性を悪用しようとする試みが実際に確認されていると発表しており、顧客は可能な限り早期に最新のソフトウェアにアップグレードすることが求められています。米国サイバーセキュリティ・社会基盤安全保障庁 (CISA) も、この「CVE-2026-20045」を既知の悪用された脆弱性 (KEV) カタログに追加し、連邦政府機関に対して2026年2月11日までにアップデートを展開するよう期限を設けています。
Ciscoは今月、公開された概念実証エクスプロイトコードを持つIdentity Services Engine (ISE) の脆弱性や、昨年11月から悪用されていたAsyncOSのゼロデイ脆弱性も修正しています。