Trusted DesignCVE-2026-20045 の詳細
CVEの情報
説明:
A vulnerability in Cisco Unified Communications Manager (Unified CM), Cisco Unified Communications Manager Session Management Edition (Unified CM SME), Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P), Cisco Unity Connection, and Cisco Webex Calling Dedicated Instance could allow an unauthenticated, remote attacker to execute arbitrary commands on the underlying operating system of an affected device.
This vulnerability is due to improper validation of user-supplied input in HTTP requests. An attacker could exploit this vulnerability by sending a sequence of crafted HTTP requests to the web-based management interface of an affected device. A successful exploit could allow the attacker to obtain user-level access to the underlying operating system and then elevate privileges to root.
Note: Cisco has assigned this security advisory a Security Impact Rating (SIR) of Critical rather than High as the score indicates. The reason is that exploitation of this vulnerability could result in an attacker elevating privileges to root.
CVE更新日: 2026-01-21 17:16:08.077000
CVSSバージョン: 3.1
CVSSスコア: 8.2
KEVの情報
KEV更新日: 2026-01-21
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.009960000
EPSS更新日: 2026-03-01 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: True
CVE‑2026‑20045 調査結果 CVE‑2026‑20045は、Cisco Unified Communications製品群に存在する未認証リモートコード実行(RCE)脆弱性です。原因はHTTPリクエストに対する入力検証不備(Improper Input Validation)。Ciscoは実際の攻撃で悪用されていると公表しています。 【1. 脆弱性の概要】 ■ 影響 - 認証不要で任意コマンド実行が可能 - 細工したHTTPリクエストによりOSコマンド実行 - ユーザーレベルのOSアクセス取得、root権限昇格が可能 ■ 深刻度 - CVSS 3.1:8.2(Cisco 評価) 【2. 対象となる環境】 ■ 影響を受ける製品 - Cisco Unified Communications Manager (Unified CM) - Unified CM Session Management Edition (SME) - Unified CM IM & Presence Service (IM&P) - Cisco Unity Connection - Cisco Webex Calling Dedicated Instance ■ 影響を受けるOSバージョン - CiscoアプライアンスOS(Linux ベース) - 具体的なOSバージョンは不明です ■ 影響を受ける設定 - Web管理インターフェースがアクセス可能な状態 - 特別な設定依存の記述はありません 【3. 影響を受けた時の兆候】 - Cisco PSIRTが悪用試行を観測していますが、具体的な兆候は不明です。 【4. 推奨対策】 ■ 本対策 - Ciscoが提供する修正パッチを適用 - 各製品の最新バージョンへアップグレードを推奨しています。 ■ 暫定回避策 - Ciscoは「ワークアラウンドなし」と明記しています。 【5. 追加で知っておくべき情報】 ■ 技術的性質 - CWE‑94(Improper Control of Code Generation) - HTTP リクエストの入力検証不備