Cisco Systemsから複数のセキュリティアドバイザリが発行された。脆弱性に関する情報は次のページからたどることができる。

  • Security Advisories

    Security Advisories

シスコ製品が抱えている脆弱性の概要

Cisco Systemsからは短期間に比較的多くのセキュリティアドバイザリが発行される傾向がある。この1週間で発行または更新された脆弱性は次のとおり。

  • 【緊急】 2024年01月10日 CVE-2024-20272 Cisco Unity Connection 認証されていないユーザーによる任意ファイルアップロードの脆弱性
  • 警告 2024年01月08日 CVE-2023-20193、CVE-2023-20194 Cisco Identity Services Engine 特権昇格の脆弱性
  • 警告 2024年01月10日 CVE-2024-20270 Cisco BroadWorks Application Delivery Platform and Xtended Services Platform ストアドクロスサイトスクリプティング(XSS)の脆弱性
  • 警告 2024年01月10日 CVE-2024-20251 Cisco Identity Services Engine ストアドクロスサイトスクリプティング(XSS)の脆弱性
  • 警告 2024年01月10日 CVE-2023-20257、CVE-2023-20258、CVE-2023-20260、CVE-2023-20271 Cisco Evolved Programmable Network Manager and Cisco Prime Infrastructure の脆弱性
  • 警告 2024年01月10日 CVE-2024-20287 Cisco WAP371 Wireless Access Point コマンドインジェクションの脆弱性
  • 警告 2024年01月10日 CVE-2024-20277 Cisco ThousandEyes Enterprise Agent Virtual Appliance 特権昇格の脆弱性
  • 警告 2024年01月10日 CVE-2023-20248、CVE-2023-20249 Cisco TelePresence Management Suite クロスサイトスクリプティング(XSS)の脆弱性

この1週間で発行または更新されたセキュリティアドバイザリは8個で、このうち1個は深刻度が緊急(Critical)に分類されている。緊急に分類されている脆弱性は「Cisco Unity Connection」が対象。Webベースの管理インタフェースに問題があり、認証されていないユーザーがリモートから該当システムに任意のファイルをアップロードすること、基盤となるオペレーティングシステムでコマンドを実行することが可能なリスクがあるとされ、最終的にroot権限を得られるため注意が必要。該当する製品を使っている場合は迅速に修正版へアップデートすることが望まれている。

すでに公開されているセキュリティアドバイザリがアップデートされたり、同じ製品であっても短い間隔で別のセキュリティアドバイザリが発行されたりすることがある。Cisco Systemsの製品を使っている場合、掲載されているリストを日付などで整理しながら漏れなくチェックすることが望まれる。