Bleeping Computerは6月4日(米国時間)、「Cisco warns of ISE and CCP flaws with public exploit code」において、Cisco Identity Services Engine(ISE)およびCisco Customer Collaboration Platform(CCP)から脆弱性が発見されたと報じた。

Cisco Identity Services Engine(ISE)はポリシー管理製品で、Cisco Customer Collaboration Platform(CCP)は顧客コラボレーションプラットフォーム。

今回発見された脆弱性は合計3件。そのうち1件の深刻度は緊急(Critical)と評価されており注意が必要。これら脆弱性を悪用されると認証されていないリモートの攻撃者に、機密データへの不正アクセスやサービスの中断など、さまざまな攻撃を実行される可能性がある。

  • Cisco warns of ISE and CCP flaws with public exploit code

    Cisco warns of ISE and CCP flaws with public exploit code

脆弱性に関する情報

脆弱性の情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。

CVE-2025-20286

Cisco Identity Services Engineにハードコードされた認証情報の脆弱性。認証されていない第三者が、遠隔から不正にクラウドにデプロイされたISEからユーザー認証情報を抽出し、他のクラウド環境にデプロイされたISEに安全でないポートを介してアクセスすることで、機密データへのアクセスなど、さまざまな攻撃を実行できる可能性がある(CVSSスコア: 9.9)

CVE-2025-20130

Cisco Identity Services EngineおよびCisco ISE Passive Identity Connector(ISE-PIC)に不適切なアクセス制御の脆弱性。管理者権限を持つ攻撃者が、遠隔から任意のファイルをアップロードできる可能性がある(CVSSスコア: 4.9)

CVE-2025-20129

Cisco Customer Collaboration Platform(旧Cisco SocialMiner)に機密情報暴露の脆弱性。認証されていない第三者が、遠隔から不正に標的サーバのチャットインタフェースに細工したHTTPリクエストを送信することでチャットトラフィックを攻撃者の管理サーバにリダイレクトさせ、機密情報を窃取できる可能性がある(CVSSスコア: 4.3)

脆弱性が存在する製品

CVE-2025-20286はプライマリー管理ノードがAmazon Web Services(AWS)、Microsoft Azure、Oracle Cloud Infrastructure(OCI)にデプロイされている場合にのみ影響を受ける。プライマリー管理ノードがオンプレミス環境にある場合は影響を受けない。クラウドプラットフォームごとの影響を受けるバージョンは次のとおり。

  • AWS - Cisco ISE 3.1、3.2、3.3、3.4
  • Azure - Cisco ISE 3.2、3.3、3.4
  • OCI - Cisco ISE 3.2、3.3、3.4

CVE-2025-20130の影響を受けるとされる製品およびバージョンは次のとおり。

  • Cisco ISEおよびISE-PIC 3.0およびこれ以前のバージョン
  • Cisco ISEおよびISE-PIC 3.1、3.2、3.3

CVE-2025-20129の影響を受けるとされる製品およびバージョンは次のとおり。

  • Cisco CCP 12.5(1) SU2およびこれ以前のバージョン
  • Cisco CCP 12.5(1) SU4

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • Cisco ISE 3.3 P8
  • Cisco ISE 3.4 P3
  • Cisco ISE 3.5 (8月に発売予定)
  • Cisco CCP 15.0

CVE-2025-20286に対してはCisco ISE 3.1から3.4までを対象とするホットフィックスが提供されている。しかしながら、CiscoはISE 3.1および3.2の顧客に対し、修正リリースを提供している3.3以降にアップグレードすることを推奨している。

影響と対策

シスコシステムズはこれら脆弱性について、概念実証(PoC: Proof of Concept)コードが利用可能なことを認識しているとして注意を呼びかけている。また、これら脆弱性に対する回避策はないとして、修正パッチの適用またはアップグレードを推奨している。

なお、同社はCVE-2025-20286について回避策はないとしつつも、緩和策は存在するとして修正パッチを適用できないユーザーに提案している。ただし、この緩和策はテスト環境において効果を確認しているが、顧客環境における適用性と有効性については顧客自身で検証する必要があるとしている。