Tag: ISE

Cisco ISE の脆弱性 CVE-2025-20286 が FIX:AWS/Azure/OCI クラウド・デプロイメントで認証バイパス

Critical Cisco ISE Auth Bypass Flaw Impacts Cloud Deployments on AWS, Azure, and OCI

2025/06/05 TheHackerNews — Cisco が公表したのは、Identity Services Engine (ISE) に影響を及ぼす、深刻なセキュリティ欠陥を修正する、セキュリティ・パッチのリリースである。この脆弱性を悪用する未認証の攻撃者は、脆弱なシステム上で悪意のある操作を実行できるようになるという。この脆弱性 CVE-2025-20286 (CVSS:9.9) は、静的認証情報の欠陥と説明されている。

Continue reading “Cisco ISE の脆弱性 CVE-2025-20286 が FIX:AWS/Azure/OCI クラウド・デプロイメントで認証バイパス”

Cisco ISE の脆弱性 CVE-2025-20124/20125 が FIX:任意のコマンド実行や権限昇格の可能性

CVE-2025-20124 (CVSS 9.9) & CVE-2025-20125 (CVSS 9.1): Cisco Patches Critical Flaws in Identity Services Engine

2025/02/05 SecurityOnline — Cisco が発行したのは、エンタープライズで広く使用されているネットワーク・セキュリティ・ポリシー管理プラットフォームである、Identity Services Engine (ISE) に存在する2つの深刻な脆弱性に対処するセキュリティ・アドバイザリである。これらの脆弱性 CVE-2025-20124/CVE-2025-20125 の悪用に成功した認証済の攻撃者は、ルートとして任意のコマンドを実行して、認証制御のバイパスを達成し、影響を受けるシステムに深刻なリスクをもたらす可能性を得る。

Continue reading “Cisco ISE の脆弱性 CVE-2025-20124/20125 が FIX:任意のコマンド実行や権限昇格の可能性”

Cisco ISE の脆弱性 CVE-2024-20469 が FIX:すでに PoC エクスプロイトも提供

Cisco fixes root escalation vulnerability with public exploit code

2024/09/04 BleepingComputer — Cisco が修正したコマンド・インジェクションの脆弱性は、公開されているエクスプロイト・コードを用いる攻撃者に対して、脆弱なシステム上でのルート権限への昇格を許すものである。この セキュリティ欠陥 CVE-2024-20469 は、Cisco の Identity Services Engine (ISE) ソリューションで発見されたものである。この ISE とは、エンタープライズ環境でネットワーク・デバイス管理とエンドポイント制御を可能にする、ID ベースのネットワーク・アクセス制御/ポリシー適用のためのソフトウェアである。

Continue reading “Cisco ISE の脆弱性 CVE-2024-20469 が FIX:すでに PoC エクスプロイトも提供”

Apache Struts の脆弱性 CVE-2023-50164:Cisco ISE 3.0 以下では緊急対応が必須

Apache Struts (CVE-2023-50164) RCE Vulnerability Affects some Cisco Products

2023/12/19 SecurityOnline — Apache Struts で発見された深刻な脆弱性が、Cisco Systems の製品にも影響を及ぼしていることが明らかになった。この問題は、パス・トラバーサルの脆弱性 CVE-2023-50164 であり、サイバー界に波紋を広げ、各界に警鐘を鳴らしている。

Continue reading “Apache Struts の脆弱性 CVE-2023-50164:Cisco ISE 3.0 以下では緊急対応が必須”

Cisco ISE の脆弱性 CVE-2022-20964:ワンクリックで悪用の可能性

Cisco ISE Vulnerabilities Can Be Chained in One-Click Exploit

2022/11/28 SecurityWeek — Cisco の Identity Services Engine (ISE) に存在する、複数の脆弱性の悪用に成功したリモートの攻撃者が、任意のコマンドの注入/既存のセキュリティ保護の迂回/クロスサイト・スクリプティング (XSS) 攻撃などを実行するかもしれない。Cisco ISEは、ID ベース の NAC (network access control) および policy enforcement system であり、管理者に対してエンドポイント・アクセス制御やネットワーク・デバイス管理の機能を提供する。

Continue reading “Cisco ISE の脆弱性 CVE-2022-20964:ワンクリックで悪用の可能性”

Cisco ISE の深刻な脆弱性 CVE-2022-20961 などが FIX:OpenSSL の問題は調査中

Cisco addressed several high-severity flaws in its products

2022/11/04 SecurityAffairs — 今回 Cisco が対応したのは、Identity/eMail/Web Security 製品群における深刻な脆弱性を含む、同社製品に影響を及ぼす複数の欠陥である。その中で最も深刻なものは、Identity Services Engine (ISE) に存在する、クロス・サイト・リクエスト・フォージェリ (CSRF) の脆弱性 CVE-2022-20961 (CVSS:8.8) である。この脆弱性の悪用に成功した未認証のリモート攻撃者は、脆弱なデバイス上で任意のアクションを実行できる。この問題の根本的な原因は、影響を受けるデバイスの Web ベースの管理インターフェイスの不十分な CSRF 対策にある。

Continue reading “Cisco ISE の深刻な脆弱性 CVE-2022-20961 などが FIX:OpenSSL の問題は調査中”

Cisco Identity Services Engine の2つの XSS 脆弱性:パッチ適用と PoC までの間の対策とは?

Vulnerabilities in Cisco Identity Services Engine require your attention (CVE-2022-20822, CVE-2022-20959)

2022/10/21 HelpNetSecurity — Cisco は、Cisco Identity Services Engine (ISE) の管理者に対して、同プロダクトに存在する2つの脆弱性 CVE-2022-20822/CVE-2022-20959 への注意喚起を発表した。これらの悪用に成功した驚異アクターは、影響を受けるデバイス上のファイルの読み取りや削除/任意のスクリプトの実行/機密情報へのアクセスなどが可能になる。

Continue reading “Cisco Identity Services Engine の2つの XSS 脆弱性:パッチ適用と PoC までの間の対策とは?”