CVE-2025-20156 (CVSS 9.9): Cisco Meeting Management Flaw Allows for Privilege Escalation
2025/01/22 SecurityOnline — Cisco が発行したのは、同社の Meeting Management ソフトウェアに存在する、深刻な権限昇格の脆弱性 CVE-2025-20156 (CVSS:9.9) に対処するセキュリティ・アドバイザリである。この脆弱性の悪用に成功した、低権限を持つ認証済みの攻撃者は、リモートから影響を受けるデバイスにアクセスし、管理者レベルへと権限を昇格させる可能性を手にする。
この脆弱性は、Cisco Meeting Management の REST API 内における、不十分な認証チェックに起因する。そのため、特別に細工された API リクエストを、標的のエンドポイントに送信する攻撃者は、この脆弱性を悪用できるという。Cisco は、「この悪用に成功した攻撃者は、Cisco Meeting Management により管理されているエッジ・ノードに対する制御権として、管理者レベルを取得する可能性を得る」と警告している。
この脆弱性は、Cisco Meeting Management の全バージョンに影響を及ぼすが、すでに修正版がリリースされている。
この問題が攻撃者に悪用されると、システムの広範での制御が奪われるため、業務の中断などにいたる可能性が生じる。
影響を受けるソフトウェア・リリースは以下のとおりである:
- バージョン 3.8 以下:修正リリースへの移行が推奨される。
- バージョン 3.9:バージョン 3.9.1 で修正。
- バージョン 3.10:この脆弱性は存在しない。
この脆弱性を軽減するための、回避策が存在しないことを Cisco は認めている。したがって、唯一の解決策は、必要なソフトウェア・アップデートの適用となる。影響を受けるリリースと修正されたリリースの詳細については、アドバイザリの参照が推奨される。
Cisco は、脆弱性 CVE-2025-20156 に対処するための、無料のソフトウェア・アップデートを提供している。有効なサービス契約を結んでいるユーザーであれば、通常のアップデート・チャネルから、これらのアップデートにアクセスできる。サービス契約を結んでいないユーザーの場合は、Cisco の Technical Assistance Center (TAC) と連絡を取り、必要なアップグレードを入手してほしい。シームレスなアップデートのために、ハードウェアの互換性を確認し、新しいソフトウェア・リリースに十分なメモリを確保することを、Cisco は推奨している。
Cisco Meeting Management の REST API に、不十分な認証チェックの脆弱性とのことです。アップデートは提供されていますが、回避策は存在しないとのことです。ご利用のチームは、ご注意ください。よろしければ、Cisco で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.