Cisco Patches CVE-2025-20236: Unauthenticated RCE Flaw in Webex App via Malicious Meeting Links
20225/04/17 SecurityOnline — Cisco が発表したのは、Webex アプリに存在する深刻な脆弱性に対処する、重要なセキュリティ・アドバイザリである。この脆弱性を悪用する攻撃者に対して、悪意の会議招待リンクを介した、認証を必要としないリモート・コード実行 (RCE) が許される可能性がある。この脆弱性 CVE-2025-20236 (CVSS:8.8) は、Cisco Webex デスクトップ・アプリの複数バージョンに影響を及ぼす。
Cisco はアドバイザリの中で、「Cisco Webex アプリのカスタム URL パーサーに存在する脆弱性により、未認証のリモート攻撃者が、ユーザーに任意のファイルをダウンロードさせ、標的ユーザーのホスト上での任意のコマンド実行の可能性を得る」と述べている。
この脆弱性は、Webex アプリのカスタム URL 処理メカニズムにおける、不十分な入力検証に起因する。したがって攻撃者は、悪意の Webex 会議招待リンクを作成し、ユーザーを誘導してクリックさせ、ユーザーのデバイス上に任意のファイルをダウンロードさせる可能性を手にする。
Cisco は、「このエクスプロイトに成功した攻撃者は、標的ユーザーの権限で任意のコマンド実行を達成するかもしれない」と警告している。
つまり、OS の種類やシステム・コンフィグとは無関係に、脆弱なバージョンの Webex アプリを実行している、すべてのユーザーが潜在的に危険に直面することになる。
この記事の公開時点で、Cisco の PSIRT は、脆弱性 CVE-2025-20236 に関する、悪用やエクスプロイトの公開について確認していない。
Cisco が確認したのは、以下のことである:
- バージョン 44.5 以下:脆弱性なし
- バージョン 44.6:44.6.2.30589 で修正済み
- バージョン44.7:修正済みリリースへの移行が必要
- バージョン44.8 以降:脆弱性なし
このエクスプロイトを回避するために、ユーザーに対して強く推奨されるのは、アプリケーションのバージョンの確認と、速やかなアップデートである。
すっかり日常に溶け込んだ Web 会議ツールですが、会議リンクの URL は一見すると正規のものと見分けがつきにくく、Webページのリンクよりも警戒心が薄れがちです。私自身、うっかりクリックしてしまいそうだなと感じました。Cisco Webex をご利用のチームは、ベンダのアドバイザリをご確認ください。よろしければ、Cisco で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.