ClamAV の脆弱性 CVE-2026-20213/20214/20215 が FIX:サービス拒否 (DoS) の可能性

Multiple ClamAV Vulnerabilities Allow Remote Attacker to Cause a DoS Condition

2026/07/02 CyberSecurityNews — Cisco の ClamAV engine に、高深刻度の脆弱性 CVE-2026-20213/20214/20215 が発見された。これらの脆弱性を悪用するリモート攻撃者は、アンチウイルスのスキャン・プロセスをクラッシュさせ、影響を受ける Cisco Secure Endpoint Connector デプロイメントにおいてサービス拒否 (DoS) を引き起こす可能性がある。

これらの欠陥は、Windows/Linux/macOS バージョンに影響を及ぼす。最も影響が大きいのは、ClamAV のスキャン・プロセスが高権限で実行されている Windows 環境であり、クラッシュによる影響が endpoint の安定性を損なうことから、High (CVSS 7.5) と評価されている。

Linux /macOS 環境では、ClamAV が低権限で実行されるため、Security Impact Rating は Medium である。この場合、DoS が生じたとしても、システム全体に対してではなく、スキャンが妨害されるのみである。

Cisco は、Secure Endpoint Private Cloud 自体が、脆弱な状況に置かれるわけではないと明確にしている。ただし、そこから配布される connector は、ClamAV の欠陥を引き継ぐため、アップデートは不可欠である。

これらの脆弱性は、PE/FSG/7z/InstallShield/PESpin/ALZ/DMG といった複数の ClamAV ファイル形式パーサにおける、不適切なメモリ処理/境界チェック/リソース管理に起因する。

ClamAV の脆弱性

認証されていない攻撃者であっても、これらの形式の不正なファイルを細工することで、電子メール/Web ダウンロード/ファイル共有を介して、ClamAV に対して特定コンテンツのスキャンを endpoint に強要できる。

悪意のファイルがエンジンによりパースされる際に、境界外書き込み/メモリの過剰読み取り/32-bit プラットフォームにおける整数オーバーフローなどが発生する。それにより、一時的にシステム・リソースが過剰に消費され、ClamAV プロセスが終了し、DoS 状態を引き起こされる可能性がある。

2026年7月1日に、Cisco はアドバイザリ cisco-sa-clamav-88cFYyxR を公表し、同様の ClamAV パース脆弱性が、過去にもスキャン処理を妨害していたと警告している。

プロセス権限とプラットフォーム保護が脆弱な場合には、リモート・コード実行が引き起こされる可能性がある。それが浮き彫りにするのは、信頼できない入力を日常的に処理するセキュリティ・エンジンにおけるリスクである。

製品およびプラットフォームの実装に応じて、影響のレベルが異なると Cisco は述べているが、脆弱な ClamAV コンポーネントを使用する Linux/Mac/Windows 向けの Secure Endpoint Connector において露出が生じることが確認されている。

Windows の connector に関しては、深刻度 High (CVSS 7.5) と評価されている。悪用が成功すると endpoint が応答不能となり、再起動などの手動介入が必要になる可能性がある。

Linux/Mac の connector は、深刻度 Medium と評価されている。悪用が成功すると、スキャン・エンジンが停止し、マルウェア検知が遅延/妨害されるが、オペレーティング・システム全体が不安定になることはない。

ClamAV DoS 問題に関する過去のベンダー通知は、一貫したパターンを示している。いったんスキャン・プロセスがクラッシュすると、そのデバイスは、サービスが再起動されるか、システムが復旧されるまで、アンチウイルス防御を失う。

これらの ClamAV 脆弱性に対して、Cisco はパッチ適用のみが持続的な緩和策であるとし、実用的な回避策は存在しないと報告している。

更新済みの Secure Endpoint Connector リリースは、Cisco Secure Endpoint portal から入手可能である。影響を受ける顧客に強く推奨されるのは、通常のコンテンツ/ソフトウェアの更新サイクルの一環として、Windows/Linux/Mac 向けの修正版へとアップグレードすることだ。

セキュリティ・チームは、特定のビルド番号および展開ガイダンスについて、関連する Cisco bug ID と CVE エントリも確認し、更新前に endpoint に十分なリソースがあることを確認すべきである。