概要
シスコは、Unified Contact Center Express (UCCX) プラットフォームにおける2つの重大な脆弱性に関するセキュリティアドバイザリを公開しました。これらの脆弱性を悪用されると、リモートの攻撃者が任意のコマンドを実行し、システムへの不正アクセスを獲得する可能性があります。2025年11月5日に公開されたこれらの脆弱性は、シスコUnified CCXシステムを運用する組織にとって即座の対応が必要です。
脆弱性の詳細
今回公表された脆弱性は、CVE-2025-20354とCVE-2025-20358で、シスコのコンタクトセンターソリューションにおける基本的なセキュリティメカニズムを標的としています。両方ともCVSSスコアが9.0を超え、クリティカルな深刻度に分類されています。
- CVE-2025-20354: リモートコード実行 (CVSS 9.8)
Java Remote Method Invocation (RMI) プロセスにおける不適切な認証メカニズムに起因します。攻撃者はRMIプロセスを通じて任意のファイルをアップロードし、root権限でコマンドを実行することが可能です。これは、基盤となるオペレーティングシステムを完全に制御できる最も危険なシナリオです。 - CVE-2025-20358: 認証バイパス (CVSS 9.4)
CCX Editorアプリケーションにおける認証バイパスの脆弱性です。攻撃者は管理者権限で悪意のあるスクリプトを作成・実行し、スクリプト管理を行うことができます。
これらの脆弱性は、認証されていない攻撃者が有効な資格情報やユーザー操作なしに、Unified CCX環境全体を侵害する可能性があります。
影響を受けるバージョンと対策
影響を受けるシスコUnified CCXのバージョンは以下の通りです。
- バージョン12.5 SU3およびそれ以前
- バージョン15.0およびそれ以前
シスコは、これらの問題に対処するためのパッチをリリースしています。お客様は、以下のバージョンにアップグレードする必要があります。
- シスコUnified CCX 12.5をご利用の場合:12.5 SU3 ES07にアップグレード
- シスコUnified CCX 15.0をご利用の場合:15.0 ES01にアップグレード
関連するシスコのコンタクトセンター製品(Unified Contact Center Enterprise (CCE) および Packaged CCE)は、これらの脆弱性の影響を受けません。
これらの脆弱性に対する回避策は存在しないとシスコは明言しており、組織は露出を排除するためにソフトウェアアップデートを直ちに適用する必要があります。
推奨事項
この脆弱性は、セキュリティ研究者のJahmel Harris氏によってシスコの製品セキュリティインシデント対応チーム (PSIRT) に報告されました。現在、既知の公開エクスプロイトや悪意のある実装は確認されていませんが、パッチ適用の緊急性は変わりません。
組織は、現在のシスコUnified CCXソフトウェアバージョンを確認し、遅滞なく適切なパッチを適用することが強く推奨されます。認証不要のリモートアクセス要件、高い影響度、および低い複雑さの組み合わせは、これらの脆弱性をコンタクトセンターインフラストラクチャを侵害しようとする脅威アクターにとって特に魅力的なものにしています。