Cisco は、認証されていない攻撃者が悪意のある会議招待リンクを使用してクライアント側でリモートコードを実行できる、深刻度の高い Webex の脆弱性に対するセキュリティアップデートをリリースしました。
CVE-2025-20236 として追跡されているこのセキュリティ上の欠陥は、Webex のカスタム URL パーサーに見つかり、ユーザーを騙して任意のファイルをダウンロードさせることで悪用できます。
「この脆弱性は、Cisco Webex App が会議の招待リンクを処理する際の入力検証が不十分であることが原因です。
「攻撃者は、ユーザーに細工された会議招待リンクをクリックさせ、任意のファイルをダウンロードさせることで、この脆弱性を悪用することができます。悪用に成功すると、攻撃者はターゲットとしたユーザーの権限で任意のコマンドを実行できる可能性があります。”
このセキュリティバグは、オペレーティングシステムやシステム構成に関係なく、Cisco Webex App のインストールに影響します。回避策はないため、潜在的な悪用の試みをブロックするには、ソフトウェアのアップデートが必要です。
| Cisco Webex App リリース | 最初の修正リリース |
|---|---|
| 44.5 以前 | 脆弱性なし |
| 44.6 | 44.6.2.30589 |
| 44.7 | 修正リリースに移行してください。 |
| 44.8以降 | 脆弱性はありません。 |
今週 Cisco は、Secure Network Analytics のウェブベースの管理インターフェイスに特権昇格の欠陥(CVE-2025-20178)があり、管理者認証情報を持つ攻撃者が root として任意のコマンドを実行できる可能性があるとして、セキュリティパッチもリリースした。
Cisco はまた、認証されていない攻撃者がリモートで LDAP ユーザーアカウントを列挙し、どのユーザー名が有効かを判断できる Nexus Dashboard の脆弱性(CVE-2025-20150)にも対処した。
しかし、同社の製品セキュリティ・インシデント・レスポンス・チーム(PSIRT)は、野放しになっている概念実証のエクスプロイトを発見しておらず、今週水曜日に修正されたセキュリティ欠陥のパッチが適用されていないシステムを標的とした悪意のある活動の証拠も発見していない。
今月初め、シスコは管理者に対し、組み込みのバックドア管理者アカウントを暴露し、現在攻撃で活発に悪用されている重要な Cisco Smart Licensing Utility(CSLU)の静的クレデンシャルの脆弱性(CVE-2024-20439)にパッチを適用するよう警告した。
3月下旬、CISAはCVE-2024-20439の脆弱性をKnown Exploited Vulnerabilities Catalogに追加し、米国連邦政府機関に対し、4月21日までに3週間以内に進行中の攻撃からネットワークを保護するよう命じた。
Comments