無料スキャン
分析待ちCVE-2026-20170

CVE-2026-20170: XSS in Cisco Webex Contact Center

プラットフォーム

cisco

コンポーネント

webex-contact-center

NVDで見る
保存

CVE-2026-20170 describes a Cross-Site Scripting (XSS) vulnerability affecting the Desktop Agent functionality of Cisco Webex Contact Center. Successful exploitation could allow an unauthenticated, remote attacker to inject malicious scripts into a user's browser, potentially leading to information theft. Cisco has addressed this vulnerability in the Webex Contact Center service, and no customer action is currently required.

影響と攻撃シナリオ

Cisco Webex Contact Center の CVE-2026-20170 は、デスクトップエージェント機能に影響します。認証されていないリモート攻撃者は、この脆弱性を悪用してクロスサイトスクリプティング (XSS) 攻撃を実行できる可能性があります。これは、攻撃者がユーザーが閲覧する Web ページに悪意のあるコードを挿入し、潜在的に機密情報 (ログイン認証情報など) を盗んだり、ユーザーの代わりにアクションを実行したりする可能性があることを意味します。CVSS 6.1 システムによると、この脆弱性の重大度は中程度と評価されています。Cisco は Webex Contact Center サービスでこの脆弱性を修正しましたが、修正前の潜在的なリスクを理解することが重要です。根本原因は、HTML およびスクリプトコンテンツの不適切な処理でした。

悪用の状況

攻撃者は、ユーザーを悪意のあるリンクをクリックさせたり、侵害された Web サイトを訪問させたりすることで、この脆弱性を悪用できる可能性があります。このリンクまたは Web サイトには、Webex Contact Center デスクトップエージェントの脆弱性を悪用するように設計された悪意のある JavaScript コードが含まれている可能性があります。ユーザーが悪意のあるコンテンツとやり取りすると、攻撃者はユーザーのブラウザで任意のコードを実行し、アカウントとデータを潜在的に侵害する可能性があります。脆弱性を悪用するために認証が必要ないことは、特に懸念される問題であり、攻撃者は有効な資格情報なしで攻撃を開始する必要がないためです。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.06% (20% パーセンタイル)

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N6.1MEDIUMAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionRequired被害者の操作が必要かどうかScopeChanged影響コンポーネント外への波及ConfidentialityLow機密データ漏洩のリスクIntegrityLow不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
必要 — 被害者がファイルを開く、リンクをクリックするなどのアクションが必要。
Scope
変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
Confidentiality
低 — 一部データへの部分的アクセス。
Integrity
低 — 限定的な範囲でデータ変更可能。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントwebex-contact-center
ベンダーCisco
最小バージョンN/A
最大バージョンN/A

弱点分類 (CWE)

CWE-80

タイムライン

  1. 公開日
  2. EPSS 更新日

緩和策と回避策

Cisco は Webex Contact Center サービスでこの脆弱性を修正しました。修正には、HTML およびスクリプトコンテンツを適切に処理するコードの修正が含まれており、悪意のあるコードの挿入を防ぎます。顧客によるアクションは必要ありません。 Cisco は修正を自動的に実装しました。最大のセキュリティを確保するために、ユーザーはシステムを最新の Webex Contact Center バージョンで最新の状態に保つことをお勧めします。脆弱性が修正されたとはいえ、XSS 攻撃のリスクと、疑わしいリンクを避けることの重要性についてユーザーを教育するなど、積極的なセキュリティ体制を維持することが良い一般的なセキュリティプラクティスです。

修正方法翻訳中…

Cisco ha solucionado esta vulnerabilidad en el servicio Cisco Webex Contact Center. No se requiere ninguna acción por parte del cliente.

よくある質問

CVE-2026-20170 とは何ですか?(Cisco Webex Contact Center の Cross-Site Scripting (XSS))

XSS (クロスサイトスクリプティング) 攻撃とは、攻撃者が他のユーザーが閲覧する Web ページに悪意のあるコードを挿入できるセキュリティ脆弱性の種類です。

Cisco Webex Contact Center の CVE-2026-20170 による影響を受けていますか?

Webex Contact Center を最新バージョンで最新の状態に保ちます。ユーザーを疑わしいリンクのリスクとオンラインセキュリティのベストプラクティスについて教育します。

Cisco Webex Contact Center の CVE-2026-20170 を修正するにはどうすればよいですか?

この脆弱性は、修正が含まれているバージョン以前のバージョンに影響します。Cisco は Webex Contact Center サービスでこの脆弱性を修正しました。

CVE-2026-20170 は積極的に悪用されていますか?

これは、Cisco が修正を自動的に実装しており、システムを保護するために手動でタスクを実行する必要がないことを意味します。

CVE-2026-20170 に関する Cisco Webex Contact Center の公式アドバイザリはどこで確認できますか?

Cisco Security Advisories Web サイトでさらに情報を入手できます。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...