シスコは2026年1月21日、音声・コラボレーション基盤製品に影響するリモートコード実行(RCE)の脆弱性 CVE-2026-20045 の修正を公表しました。、本件はゼロデイとして実際のサイバー攻撃への試行も確認されていたとされます。
目次
影響範囲
本脆弱性は、次の製品に影響するとされています(設定に依存しません)。
-
Cisco Unified Communications Manager(Unified CM)
-
Unified CM Session Management Edition(SME)
-
Unified CM IM & Presence(IM&P)
-
Cisco Unity Connection
-
Cisco Webex Calling Dedicated Instance
脆弱性の内容
原因は、管理用Webインターフェース宛てのHTTPリクエストにおける入力検証の不備です。攻撃者が細工したHTTPリクエストを段階的に送ることで、未認証のままOS上で任意コマンド実行に至る可能性があります。成功すると、まずユーザー権限を得たうえで、最終的にroot権限へ昇格できる恐れがあると説明されています。CVSSは8.2ですが、到達点がrootである点を踏まえ、深刻度はCriticalとされています。
回避策の無し
シスコは、回避策(ワークアラウンド)は存在しないと明言しています。そのため、対策は修正済みリリースへのアップグレードまたは提供パッチの適用に限られます。
修正状況と更新方法
パッチはバージョン固有で、適用前にREADMEの確認が推奨されています。
Unified CM/IM&P/SME/Webex Calling Dedicated Instanceの修正
-
12.5:修正済みリリースへ移行が必要です。
-
14:14SU5へ更新、または次のパッチを適用します。
-
ciscocm.V14SU4a_CSCwr21851_remote_code_v1.cop.sha512
-
-
15:**15SU4(2026年3月予定)**へ更新、または次のパッチを適用します。
-
ciscocm.V15SU2_CSCwr21851_remote_code_v1.cop.sha512 -
ciscocm.V15SU3_CSCwr21851_remote_code_v1.cop.sha512
-
Cisco Unity Connectionの修正
-
12.5:修正済みリリースへ移行が必要です。
-
14:14SU5へ更新、または次のパッチを適用します。
-
ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512
-
-
15:**15SU4(2026年3月予定)**へ更新、または次のパッチを適用します。
-
ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512
-
悪用状況と行政対応
本脆弱性はゼロデイとして悪用もしくは試行が確認されています。
また、米CISAがKEV(Known Exploited Vulnerabilities)に追加し、連邦政府機関に対して2026年2月11日までの更新適用期限を設定した、と伝えられています。
関連記事
Unityの脆弱性が世界中のゲーマーとゲーム開発者に影響(CVE-2025-59489)
Cisco Unified CMに深刻な脆弱性―管理者権限の乗っ取りリスク(CVE-2025-20309)
Cisco、ISEおよび統合管理製品に深刻な脆弱性を修正(CVE-2025-20152,CVE-2025-20113)
Moxa 産業用アプライアンスに複数の深刻な脆弱性(CVE-2025-6892、-6893、-6894、-6949、-6950)
中小企業のセキュリティ対策、7割が基本的な対策を実施も課題残る-IPA調査
Cisco Webexに深刻なRCE脆弱性、会議リンク経由で不正コード実行の恐れ(CVE-2025-20236)
シスコ製メールセキュリティ製品を狙うサイバー攻撃-独自バックドア「AquaShell」を確認
Cisco IOS/IOS XE の SNMPに脆弱性(CVE-2025-20352)
pgAdminに深刻な脆弱性4件(CVE-2025-12762, CVSS 9.1)など
