Cisco ISEに複数の「緊急」の脆弱性 回避策は提供されないため注意：セキュリティニュースアラート

Ciscoは、Cisco ISEに深刻度「緊急」の複数の脆弱性があると発表した。これらが悪用された場合、認証済みの攻撃者が任意のコマンドを実行したり、システムの設定を変更したりする可能性がある。

[後藤大地，有限会社オングス]

　Cisco Systemsは2025年2月5日（現地時間）、ネットワークアクセス制御（NAC）およびセキュリティポリシーの統合管理プラットフォームである「Cisco Identity Services Engine」（Cisco ISE）に複数の深刻な脆弱（ぜいじゃく）性が見つかったと報告した。

　これらの脆弱性が悪用された場合、認証済みの攻撃者が任意のコマンドを実行したり、システムの設定を変更したりする可能性がある。

Cisco ISEに深刻度「緊急」の複数の脆弱性　回避策の提供はなし

　報告されている脆弱性のCVE情報は以下の通りだ。

• CVE-2025-20124：　不適切なJavaデシリアライズの脆弱性。Cisco ISEの特定のAPIにおける不適切なデシリアライズ処理に起因する。攻撃者は細工されたJavaオブジェクトを送信することで、影響を受けるデバイス上でroot権限で任意のコマンドを実行することが可能となる。共通脆弱性評価システム（CVSS）v3.1のスコア値は9.9とされ、深刻度は緊急（Critical）と位置付けられている
• CVE-2025-20125：　認証バイパスの脆弱性。Cisco ISEの特定のAPIに適切な認可チェックが実装されていないことに起因する。攻撃者は細工されたHTTPリクエストを送信することで、機密情報の取得、ノード設定の変更、デバイスの再起動などが可能になる。CVSS v3.1のスコア値は9.1とされ、深刻度は緊急（Critical）と位置付けられている

　脆弱性が修正されたバージョンは以下の通りだ。

• Cisco ISE 3.1P10
• Cisco ISE 3.2P7
• Cisco ISE 3.3P4

　なおCisco ISE 3.0以前のバージョンを使用している場合は修正済みバージョンへの移行が推奨される。またCisco ISE 3.4はこの脆弱性の影響を受けないことが確認されている。

　同脆弱性に対する回避策は提供されていないため、影響を受けるユーザーは速やかに修正済みバージョンにアップデートを実施することが推奨される。この脆弱性を悪用した攻撃の報告はないが今後の攻撃リスクを考慮し、早急な対策が求められる。