プラットフォーム
cisco
コンポーネント
cisco-imc
修正版
4.0.1
3.1.1
3.1.1
4.0.1
4.1.1
4.0.1
4.0.1
4.0.1
4.0.1
4.0.1
4.0.1
3.1.1
4.0.1
4.0.1
4.0.1
4.0.1
3.1.1
4.0.1
4.1.1
3.1.1
4.0.1
3.1.1
3.1.1
3.1.1
4.0.1
4.1.1
4.0.1
4.0.1
4.0.1
4.0.1
4.0.1
4.0.1
3.1.1
3.1.1
3.1.1
4.0.1
3.1.1
4.0.1
4.0.1
3.1.1
4.0.1
3.1.1
4.0.1
3.1.1
4.0.1
4.1.1
4.1.1
4.0.1
4.1.1
3.1.1
4.1.1
4.0.1
4.0.1
4.1.1
4.1.1
4.0.1
4.1.1
4.1.1
4.0.1
4.0.1
4.1.1
4.0.1
4.1.1
4.1.1
4.1.1
4.1.1
4.1.1
4.1.1
4.1.1
4.1.1
4.2.1
4.1.1
4.2.1
4.2.1
4.2.1
4.1.1
4.2.1
4.3.1
4.2.1
4.2.1
4.2.1
4.2.1
4.2.1
4.2.1
4.2.1
4.2.1
4.3.1
4.1.1
4.2.1
4.3.1
4.2.1
4.3.1
4.2.1
4.2.1
4.3.1
4.1.1
4.1.1
4.3.1
4.3.1
4.2.1
4.1.1
4.3.1
4.3.1
4.2.1
4.3.1
4.3.1
4.3.1
4.3.1
4.3.1
4.2.1
4.3.1
4.3.1
4.3.1
4.3.1
4.2.1
4.3.1
4.3.1
4.3.1
4.3.1
4.2.1
4.3.1
4.2.1
4.3.1
4.3.1
4.3.1
4.3.1
4.3.1
4.3.1
4.3.1
4.3.1
4.3.1
4.3.1
4.3.1
4.3.1
4.3.1
6.0.1
4.2.1
6.0.1
4.3.1
6.0.1
4.3.1
4.3.1
4.3.1
4.3.1
6.0.1
4.3.1
4.3.1
6.0.1
4.3.1
6.0.1
3.2.8
3.2.7
3.2.5
3.2.11
3.2.3
3.2.4
2.4.1
3.2.2
3.2.12
3.2.9
3.1.2
3.0.3
2.1.1
2.2.3
3.1.3
3.0.2
2.3.3
2.3.6
2.2.2
3.1.5
2.4.2
2.3.2
3.1.4
2.3.4
2.4.3
3.1.6
3.1.1
2.0.1
3.2.12
3.2.12
3.2.13
3.2.14
3.2.15
4.11.2
3.2.16
4.12.2
3.2.16
4.12.3
3.2.17
4.15.3
Cisco Integrated Management Controller (IMC)のWebベース管理インターフェースにコマンドインジェクションの脆弱性があります。認証されたリモート攻撃者が、読み取り専用権限で、影響を受けるシステム上でコマンドインジェクション攻撃を実行し、rootユーザーとして任意のコマンドを実行する可能性があります。この脆弱性は、ユーザーが提供した入力の不適切な検証が原因です。影響を受けるバージョンは≤6.0(1.250194)です。公式パッチはまだ提供されていません。
CVE-2026-20094 は Cisco Unified Computing System (Standalone) に影響を与え、Cisco IMC の Web ベース管理インターフェースにおける重大な脆弱性を示します。認証済みリモート攻撃者が読み取り専用権限を持っている場合、影響を受けるシステムに対してコマンドインジェクション攻撃を実行し、root ユーザーとして任意のコマンドを実行できます。CVSS スコアは 8.8 と評価されており、高いリスクを示しています。この脆弱性は、ユーザーからの入力の不適切な検証が原因で発生し、Web インターフェースを介して悪意のあるコマンドを挿入できるようになります。root としての実行が成功すると、攻撃者はシステム全体を制御できるようになり、データ損失、サービスの中断、機密情報の不正アクセスにつながる可能性があります。利用可能な修正プログラムがないことは状況を悪化させ、即時の軽減策を必要とします。
Cisco IMC Web インターフェースに読み取り専用権限を持つ攻撃者は、インターフェイスを通じて特別に作成されたコマンドを送信することで、この脆弱性を悪用できます。不十分な入力検証により、これらのコマンドが root 権限で影響を受ける基盤となるオペレーティングシステム上で直接実行されるようになります。攻撃者はシステムへの事前のアクセスを必要とせず、読み取り専用権限で認証できるだけです。成功したエクスプロイトには、影響を受けるオペレーティングシステムのコマンド構文に関する基本的な知識が必要です。この脆弱性の性質により、マルウェアのインストール、構成ファイルの変更、機密データの盗難など、さまざまな攻撃が可能になります。修正プログラムがないため、軽減策が実装されるまでシステムは脆弱なままになります。
エクスプロイト状況
EPSS
0.41% (61% パーセンタイル)
CISA SSVC
CVSS ベクトル
Cisco から公式な修正プログラムが提供されていないため、CVE-2026-20094 の軽減には、積極的かつ慎重なアプローチが必要です。Cisco IMC Web インターフェースへのアクセスを、必要な最小限の権限を持つ承認されたユーザーに制限することを強くお勧めします。多要素認証 (MFA) などの厳格なアクセス制御を実装することで、不正アクセスリスクを軽減できます。システムログを継続的に監視して、疑わしいアクティビティやコマンドインジェクションの試行がないか確認することが重要です。ネットワークセグメンテーションを検討して、影響を受けるシステムを分離し、成功したエクスプロイトの潜在的な影響を制限します。直接的な解決策はありませんが、これらのセキュリティ対策を実装することで、公式な修正プログラムが利用可能になるまでリスクを軽減できます。
Cisco ha lanzado actualizaciones de software para abordar esta vulnerabilidad. Se recomienda actualizar a una versión corregida lo antes posible. Consulte la advisory de Cisco para obtener más detalles sobre las versiones afectadas y las actualizaciones disponibles: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-cmd-inj-3hKN3bVt
脆弱性分析と重要アラートをメールでお届けします。
これは高いリスクを示しており、脆弱性が簡単に悪用され、システムセキュリティに重大な影響を与える可能性があることを意味します。
いいえ、現在 Cisco から公式な修正プログラムは提供されていません。軽減策を実装することをお勧めします。
攻撃者は Cisco IMC Web インターフェースへの読み取り専用権限が必要です。
システムログを監視して、未知のコマンドや不正アクセス試行などの疑わしいアクティビティがないか確認します。
影響を受けるシステムをネットワークから隔離し、フォレンジック調査を実施し、クリーンなバックアップから復元することを検討してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。