【注意喚起】Cisco Security Manager の複数の脆弱性に関する注意喚起

2020年11月19日南大沢日野荒川

Cisco Security Manager の複数の脆弱性に関する注意喚起がありました。

I. 概要
　2020年11月16日 (現地時間)、Cisco は Cisco Security Manager の複数の脆弱性 (CVE-2020-27125、
　CVE-2020-27130、CVE-2020-27131) に関する情報を公開しました。本脆弱性が悪用された場合、
　遠隔の第三者が当該製品上から任意のファイルをダウンロードしたり、任意の Java コードを管理者
　権限で実行したりする可能性があります。

　　Cisco
　　Cisco Security Manager Static Credential Vulnerability
　　※CVE-2020-27125 のアドバイザリ

　　Cisco
　　Cisco Security Manager Path Traversal Vulnerability
　　※CVE-2020-27130 のアドバイザリ

　　Cisco
　　Cisco Security Manager Java Deserialization Vulnerabilities
　　※CVE-2020-27131 のアドバイザリ

　JPCERT/CC では、本脆弱性を実証するコードが公開されていることを確認しています。
　本脆弱性を悪用した攻撃に関する情報は確認できていませんが、今後脆弱性を悪用する攻撃が
　行われる可能性があるため、対象となる製品を利用している場合には、アップデートの適用等
　を検討してください。詳細についてはCisco が提供する情報を参照してください。

II. 対象
　本脆弱性の影響を受けるバージョンは次のとおりです。

　　CVE-2020-27125、CVE-2020-27130
　　- Cisco Security Manager リリース 4.21 を含む前のバージョン

　　CVE-2020-27131
　　- Cisco Security Manager リリース 4.22 を含む前のバージョン

III. 対策
　Cisco より、本脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、
　修正済みバージョンへ適用をご検討ください。なお、CVE-2020-27131に対する修正バージョンは
　2020年11月18日時点で公開されていません。

IV. 参考情報
　Cisco
　Cisco Security Manager Static Credential Vulnerability
　※CVE-2020-27125 のアドバイザリ

　Cisco
　Cisco Security Manager Path Traversal Vulnerability
　※CVE-2020-27130 のアドバイザリ

　Cisco
　Cisco Security Manager Java Deserialization Vulnerabilities
　※CVE-2020-27131 のアドバイザリ

　Tenable
　CVE-2020-27125, CVE-2020-27130, CVE-2020-27131: Pre-Authentication Vulnerabilities in Cisco Security Manager Disclosed

2020年度に戻る

ページ上部へ戻る