2025年9月 Cisco(シスコ)は、IOSおよびIOS XEに実装されたSNMPサブシステムのスタックオーバーフロー(CWE-121)について、脆弱性 CVE-2025-20352を公表しました。影響デバイスに対し、IPv4/IPv6経由の細工パケットで攻撃が可能です。
影響範囲(対象製品・バージョン)
Cisco IOS Software/Cisco IOS XE Software:脆弱なリリースを実行中でSNMPの全バージョンが有効、かつ問題のOIDを除外していない機器は影響。また、Meraki MS390/Cisco Catalyst 9300(Meraki CS 17 以前)も影響します。
※IOS XR、NX-OS は影響しません
自機の影響確認(クイックチェック)
-
SNMP有効確認
-
v1/v2c:
show running-config | include snmp-server communityに出力があれば有効。 -
v3:
両方に出力があればSNMPv3が有効。
-
-
バージョン確認:現在のIOS/IOS XE リリース番号を控え、Software Checkerで該当可否とFirst Fixedを確認。
-
運用見直し:ROコミュニティの桁数・乱数性/不要なSNMPの無効化/SNMPv3移行(Auth/Priv)/管理者資格情報の棚卸し。
自機が脆弱かはFixed Softwareの表(Cisco Software Checker)で該当リリースとFirst Fixedを必ず確認してください。
対応
-
Cisco提供の修正済みリリースへアップグレードしてください。
-
具体的なFirst Fixed/Combined First FixedはCisco Software Checkerで自リリースを入力して確認。
-
Meraki CS 17 以前の MS390/Catalyst 9300は、IOS XE 17.15.4aへ更新。
暫定的には影響を受けるシステムへのSNMPアクセスを信頼できるユーザーのみに制限することで、一時的に問題を軽減できますがアップデートする事をお勧めします。








