Cisco FMCにCVSS10.0の脆弱性 回避策はないため迅速なアップデートを推奨：セキュリティニュースアラート

CiscoはSecure FMCのWebインタフェースに認証回避の脆弱性があると発表した。未認証の攻撃者がroot権限を取得できる。CVSS v3.1のスコアは10.0、深刻度「緊急」（Critical）だ。回避策はないため修正版への速やかな更新が求められる。

[ITmedia エンタープライズ編集部，ITmedia]

　Cisco Systems（以下、Cisco）は2026年3月4日（現地時間）、「Cisco Secure Firewall Management Center」（FMC）ソフトウェアのWebインタフェースに認証回避の脆弱（ぜいじゃく）性が存在すると発表した。

　未認証の遠隔攻撃者が細工したHTTPリクエストを送信すると、装置上でスクリプトを実行し、基盤OSのroot権限を取得する恐れがある。

CVSS10.0の認証回避脆弱性、root権限取得の恐れ　回避策なし

　原因は、装置起動時に生成されるシステムプロセスの処理不備にある。攻撃者が細工したHTTPリクエストを送信すると認証手続きを回避でき、装置内部で各種スクリプトやコマンドを実行可能となる。成功した場合、root権限取得に至り、装置の制御権が奪われる恐れがある。この問題はCVE-2026-20079として識別されており、共通脆弱性評価システム（CVSS）v3.1のスコアは10.0で、深刻度「緊急」（Critical）と評価されている。

　この脆弱（ぜいじゃく）性に対し、Ciscoは修正済みソフトウェアを公開した。現時点で問題を回避する代替策は存在しないとしており、影響を受ける環境では速やかなアップデート適用を求めている。同社は恒久的対処として修正版ソフトへの更新を推奨している。

　影響範囲の確認には「Cisco Software Checker」の利用が推奨される。同ツールは特定のソフトウェアリリースを入力すると、関連するセキュリティアドバイザリーと修正が適用された最初のバージョンが提示される。対象となるプラットフォームとリリース番号を入力することで、該当する脆弱性と修正済みバージョンを確認できる。

　Ciscoは複数の製品について影響を受けないことも報告した。「Cloud-Delivered FMC」（cdFMC）と「Secure Firewall Adaptive Security Appliance Software」「Secure Firewall Threat Defense Software」「Security Cloud Control」（旧Defense Orchestrator）は本件の影響を受けない。

　Cisco Product Security Incident Response Team（PSIRT）によると、現時点でこの脆弱性を利用した攻撃や公開された悪用情報は確認されていない。同社は対象環境の管理者に対し、早急なソフトウェア更新と影響確認を呼びかけている。