無料スキャン
分析待ちCVE-2026-20170

CVE-2026-20170: XSS in Cisco Webex Contact Center

プラットフォーム

cisco

コンポーネント

webex-contact-center

NVDで見る
保存

CVE-2026-20170は、Cisco Webex Contact Centerのデスクトップエージェント機能におけるクロスサイトスクリプティング(XSS)脆弱性です。この脆弱性は、HTMLおよびスクリプトコンテンツが適切に処理されなかったために発生しました。攻撃者は、ユーザーを悪意のあるリンクに誘導することで、この脆弱性を悪用し、機密情報を盗む可能性があります。影響を受けるバージョンはN/A–N/Aですが、Ciscoは既にこの脆弱性を修正しています。

影響と攻撃シナリオ

このXSS脆弱性を悪用されると、攻撃者はWebex Contact Centerのデスクトップエージェントを使用しているユーザーのブラウザ上で悪意のあるスクリプトを実行できます。これにより、攻撃者はユーザーの認証情報を盗んだり、Webex Contact Centerインターフェースを改ざんしたり、ユーザーを悪意のあるWebサイトにリダイレクトしたりすることが可能になります。攻撃者は、フィッシング攻撃を実行して、ユーザーを偽のログインページに誘導し、認証情報を盗むことも考えられます。この脆弱性の影響範囲は、Webex Contact Centerを使用している組織全体に及ぶ可能性があります。

悪用の状況

この脆弱性は2026年4月15日に公開されました。現時点では、この脆弱性を悪用した具体的な事例は報告されていません。しかし、XSS脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。Ciscoは、この脆弱性に対するセキュリティアドバイザリを発行しています。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.06% (20% パーセンタイル)

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N6.1MEDIUMAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionRequired被害者の操作が必要かどうかScopeChanged影響コンポーネント外への波及ConfidentialityLow機密データ漏洩のリスクIntegrityLow不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
必要 — 被害者がファイルを開く、リンクをクリックするなどのアクションが必要。
Scope
変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
Confidentiality
低 — 一部データへの部分的アクセス。
Integrity
低 — 限定的な範囲でデータ変更可能。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントwebex-contact-center
ベンダーCisco
最小バージョンN/A
最大バージョンN/A

弱点分類 (CWE)

CWE-80

タイムライン

  1. 公開日
  2. EPSS 更新日

緩和策と回避策

Ciscoは既にこの脆弱性を修正しており、最新バージョンへのアップグレードが推奨されます。影響を受けるバージョンが不明なため、Cisco Webex Contact Centerの最新リリースノートを確認し、最新バージョンにアップグレードしてください。アップグレードが困難な場合は、Webアプリケーションファイアウォール(WAF)を使用して、XSS攻撃をブロックすることを検討してください。また、ユーザーに対して、不審なリンクをクリックしないように注意喚起することも重要です。アップグレード後、Webex Contact Centerのログを監視し、異常なアクティビティがないか確認してください。

修正方法翻訳中…

Cisco ha solucionado esta vulnerabilidad en el servicio Cisco Webex Contact Center. No se requiere ninguna acción por parte del cliente.

よくある質問

CVE-2026-20170 — XSS in Cisco Webex Contact Centerとは何ですか?

CVE-2026-20170は、Cisco Webex Contact Centerのデスクトップエージェント機能におけるクロスサイトスクリプティング(XSS)脆弱性です。攻撃者は悪意のあるリンクを誘導することで、機密情報を盗む可能性があります。

CVE-2026-20170 in Cisco Webex Contact Centerの影響を受けていますか?

影響を受けるバージョンはN/A–N/Aですが、Cisco Webex Contact Centerを使用している場合は、最新バージョンにアップグレードすることをお勧めします。最新リリースノートを確認し、最新バージョンにアップグレードしてください。

CVE-2026-20170 in Cisco Webex Contact Centerを修正するにはどうすればよいですか?

Ciscoは既にこの脆弱性を修正しています。最新バージョンへのアップグレードが推奨されます。アップグレードが困難な場合は、WAFを使用してXSS攻撃をブロックすることを検討してください。

CVE-2026-20170は積極的に悪用されていますか?

現時点では、この脆弱性を悪用した具体的な事例は報告されていません。しかし、XSS脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。

CVE-2026-20170に関するCisco Webex Contact Centerの公式アドバイザリはどこで入手できますか?

Ciscoのセキュリティアドバイザリページで確認できます。CiscoのWebex Contact Centerのセキュリティアドバイザリを検索してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...