2025年6月26日、Ciscoはネットワークアクセス制御(NAC)プラットフォームである「Cisco Identity Services Engine(ISE)」および「Passive Identity Connector(ISE-PIC)」において、CVSSスコア10.0の未認証リモートコード実行(RCE)脆弱性が2件発見されたことを公表しました。これらの脆弱性は、攻撃者が認証なしにroot権限で任意のコードを実行できる極めて危険な内容です。
脆弱性の概要
CVE-2025-20281
APIでのユーザー入力検証が不十分なため、細工されたリクエストを送信することで、root権限で任意のOSコマンドを実行可能。
-
対象バージョン:ISEおよびISE-PICの3.3および3.4
-
CVSSスコア:9.8(Critical)
CVE-2025-20282
内部APIのファイル検証が不適切なため、特権ディレクトリにファイルをアップロード・実行可能。
-
対象バージョン:ISEおよびISE-PICの3.4
-
CVSSスコア:10.0(Critical)
どちらの脆弱性も、認証不要・ユーザー操作不要で攻撃可能な点が共通しており、完全なシステム乗っ取りが可能になります。
製品の影響とリスク
Cisco ISEは、企業や大学、政府機関、サービスプロバイダなどがネットワークアクセス制御やポリシー管理に用いる中核的な製品です。そのため、これらの脆弱性が悪用されると、企業ネットワーク全体の制御権が攻撃者に渡る可能性があり、非常に深刻なリスクを伴います。
なお、2025年6月時点でこれらの脆弱性を悪用した攻撃は確認されていませんが、Ciscoは「即時のパッチ適用」を強く推奨しています。
対策
Ciscoは以下のパッチで脆弱性を修正しています
-
ISE 3.3 → Patch 6
-
ISE 3.4 → Patch 2
また、同時に公開された別の脆弱性(CVE-2025-20264)は、SAML SSO統合時の認可制御が不適切なことで発生する中程度(CVSS 6.5)の認証バイパス脆弱性であり、同様に3.3 Patch 5および3.4 Patch 2で修正されています。
サポートが終了したISE 3.1以前のバージョンはパッチ対象外のため、新しいバージョンへの移行が推奨されます。






に認証バイパス脆弱性CVE-2025-22462-早急なパッチ適用を推奨-200x200.png)

