脆弱性対応ウォッチ重大・クリティカル脆弱性のクラウド別対応まとめ
最新CriticalHighAWSGCPAzureLinux
High CVSS 8.6 KEV 悪用確認
CVE-2026-20230

Cisco Unified Communications Manager SSRF

CVE IDCVE-2026-20230
製品Cisco / Unified Communications Manager
CVSS8.6(High)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N
種別 (CWE)CWE-918 サーバサイドリクエストフォージェリ (SSRF)
登録/公開日2026/06/25
KEV 期限2026/06/28 まで(米国連邦機関向け目安)
推奨対応ベンダー指示に従って緩和策を適用(BOD 26-04 準拠)
出典https://nvd.nist.gov/vuln/detail/CVE-2026-20230

概要

Cisco Unified Communications Manager(14〜15SU4a、SME 含む)の HTTP リクエスト処理における SSRF の脆弱性。未認証のリモート攻撃者が基盤 OS へファイルを書き込める恐れ。WebDialer はデフォルト無効で、有効化している場合に悪用可能。修正は 14SU6 以降が示唆される。

クラウド/OS 別の対応状況

各ベンダー公式アドバイザリで確認できた事実に基づき整理しています。確認できていない項目は「情報確認中」と明記し、存在しないパッチ番号・バージョンは記載しません。

環境対応状況対応方法・備考
AWS (ECS/EC2) 対象外
該当なし(Cisco 独自アプライアンス/仮想アプライアンス)
CUCM は Cisco 独自の仮想/物理アプライアンス。AWS のマネージド提供はなく、Cisco 修正版へ更新。
参照リンク
GCP 対象外
該当なし(Cisco 独自アプライアンス)
GCP の対象外。Cisco 修正版へ更新。
参照リンク
Azure 対象外
該当なし(Cisco 独自アプライアンス)
Azure の対象外。Cisco 修正版へ更新。
参照リンク
Linux ベンダーFW更新
CUCM を Cisco 提供の修正リリースへ更新(回避策: WebDialer 無効化)
CUCM は Cisco 独自の Linux ベースアプライアンス。汎用ディストリのパッケージ対象外。Cisco 公式の修正リリースを適用。
参照リンク

解決の方向性(パッチ/回避策/代替)

Cisco セキュリティアドバイザリに従い修正リリースへアップグレードするのが基本。悪用条件である WebDialer サービスを無効化する回避策が有効。具体的な修正リリースは Cisco 公式で要確認。

免責: 本ページは CISA KEV・NVD・各ベンダー公式アドバイザリ等の公開情報をもとにした非公式まとめです。修正バージョンや対応可否は変更される場合があります。実際の対応は必ず 出典元および各ベンダー公式情報・自環境で確認してください。

« 一覧に戻る