世界最大のネットワーキング機器プロバイダーである Cisco は水曜日、Cisco Meeting Management の REST API に存在する重大な権限昇格の脆弱性に対処するセキュリティ アップデートをリリースしました。
CVE-2025-20156 として追跡されている重大な脆弱性は、Common Vulnerability Scoring System (CVSS) で 10 点中 9.9 と評価されています。この権限昇格の欠陥が悪用されると、低い権限を持つリモートの認証された攻撃者が影響を受けるデバイスの管理者に権限を昇格させる可能性があり、組織に重大なリスクをもたらす可能性があります。
「この脆弱性は、REST API ユーザーに適切な認証が強制されないために存在します。攻撃者は特定のエンドポイントに API リクエストを送信することでこの脆弱性を悪用する可能性があります」と同社は述べています。言った水曜日の勧告で。
シスコはまた、この脆弱性を報告してくれた Modux の Ben Leonard-Lagarde 氏に感謝しました。
Cisco Meeting Management の次のバージョンは、デバイスの構成に関係なく、この脆弱性の影響を受けます。シスコは、この脆弱性に対してソフトウェア アップデートをリリースしました。
- Cisco Meeting Management 3.8 以前:ユーザーは、3.9.1 などの修正リリースに移行することをお勧めします。
- Cisco 会議管理 3.9:3.9.1でパッチ適用済み
- Cisco 会議管理 3.10:このバージョンは影響を受けず、更新は必要ありません。
アドバイザリのリリース時点で、Cisco Product Security Incident Response Team(PSIRT)は、この脆弱性が積極的に悪用されているという証拠はまだ見つかっていないため、この脆弱性の公表や悪用は認識していないと述べた。
残念ながら、この脆弱性を軽減する回避策はありません。この問題に対処する唯一の方法は、必要なソフトウェア アップデートを適用することです。
シスコは、リスクを軽減するために、利用可能なパッチを直ちに適用するようユーザーに呼びかけています。定期的なソフトウェア更新を許可するサービス契約を結んでいるお客様は、通常の更新チャネルを通じてセキュリティ修正を入手する必要があります。
サービス契約を結んでいない場合は、テクニカル アシスタンス センター (TAC) に連絡して、必要なアップグレードを入手するためのサポートを求めることができます。
さらに同社は、アドバイザリの「脆弱性のある製品」セクションに記載されている製品のみが影響を受けることを確認しています。シスコはまた、システムの安全性と安定性を維持するために、アップグレードする前にハードウェアとソフトウェアの互換性を確認することをユーザーに推奨しています。