CVSSスコア9.9：Ciscoが会議管理ソフトウェアの重大な特権昇格脆弱性を修正

Cisco、世界最大のネットワーク機器プロバイダーは、水曜日にCisco Meeting ManagementのREST APIにおける重大な特権昇格脆弱性に対処するためのセキュリティ更新をリリースしました。

CVE-2025-20156として追跡されるこの重大な脆弱性は、共通脆弱性評価システム（CVSS）で10点中9.9と評価されています。この特権昇格の欠陥が悪用されると、リモートの認証された攻撃者が低い権限から影響を受けたデバイスの管理者権限に昇格することができ、組織に対して深刻なリスクをもたらす可能性があります。

「この脆弱性は、REST APIユーザーに対して適切な認証が強制されていないために存在します。攻撃者は特定のエンドポイントにAPIリクエストを送信することでこの脆弱性を悪用する可能性があります」と、同社は水曜日のアドバイザリーで述べました。

Ciscoはまた、この脆弱性を報告したModuxのBen Leonard-Lagardeに感謝の意を表しました。

Cisco Meeting Managementの以下のバージョンは、デバイスの構成に関係なく脆弱性の影響を受けており、Ciscoはソフトウェア更新をリリースしています。

• Cisco Meeting Management 3.8およびそれ以前： ユーザーは3.9.1などの修正リリースに移行することを推奨します。

• Cisco Meeting Management 3.9： 3.9.1で修正済み

• Cisco Meeting Management 3.10： このバージョンは影響を受けず、更新は必要ありません。

アドバイザリーのリリース時点で、Cisco製品セキュリティインシデント対応チーム（PSIRT）は、この脆弱性の公表や悪用については認識しておらず、欠陥が積極的に悪用されている証拠はまだ見つかっていないと述べています。

残念ながら、この脆弱性を軽減するための回避策はありません。この問題に対処する唯一の方法は、必要なソフトウェア更新を適用することです。

Ciscoは、リスクを軽減するために、利用可能なパッチを直ちに適用するようユーザーに促しています。定期的なソフトウェア更新を許可するサービス契約を持つ顧客は、通常の更新チャネルを通じてセキュリティ修正を取得する必要があります。

サービス契約を持たない方は、必要なアップグレードを取得するためにテクニカルアシスタンスセンター（TAC）に連絡することができます。

さらに、同社はアドバイザリーの脆弱な製品セクションにリストされている製品のみが影響を受けることを確認しました。Ciscoはまた、システムの安全性と安定性を維持するために、アップグレード前にハードウェアとソフトウェアの互換性を確認するようユーザーにアドバイスしています。