CRITICALCVE-2026-20184CVSS 9.8

Cisco Webex Meetings 証明書検証脆弱性

プラットフォーム

cisco

コンポーネント

webex-meetings

修正版

39.7.8

39.9.1

40.4.11

39.6.1

40.6.3

39.8.3

39.8.5

40.1.1

39.11.1

39.7.5

39.9.2

40.4.1

40.6.1

39.7.1

39.8.1

39.8.4

40.2.1

39.10.1

42.6.1

42.7.1

42.8.1

42.9.1

42.10.1

42.11.1

42.12.1

43.1.1

43.2.1

43.3.1

43.4.1

43.4.2

43.4.3

43.5.1

43.6.1

43.6.2

43.7.1

43.8.1

43.9.1

43.10.1

43.11.1

43.12.1

44.1.1

44.2.1

44.3.1

44.4.1

44.5.1

44.6.1

44.7.1

44.8.1

44.9.1

44.10.1

44.11.1

44.12.1

45.1.1

45.2.1

45.3.1

45.4.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年4月

NVDで見る

保存

Cisco Webex MeetingsのControl Hubとのシングルサインオン (SSO) 統合において、未認証の攻撃者が任意のユーザーを偽装できる脆弱性が存在します。この脆弱性は、不適切な証明書検証が原因で発生します。影響を受けるバージョンは39.6から45.4です。

影響と攻撃シナリオ

Cisco Webex Meetings の CVE-2026-20184 は、なりすまし攻撃の可能性から、重大なリスクをもたらします。認証されていないリモート攻撃者は、Control Hub とのシングルサインオン (SSO) 統合の脆弱性を悪用して、サービス内の任意のユーザーになりすます可能性があります。CVSS スコアは 9.8 と評価されており、深刻な影響を示しています。根本原因は不適切な証明書検証であり、攻撃者が不正なアクセスを得るために作成されたトークンを提示できるようにします。利用可能な修正プログラムがないことは状況を悪化させ、組織が代替の軽減策を実装するまで脆弱なままにします。公式の Cisco KEV (Knowledge Base Entry Vulnerability) がないことも、リスク評価と詳細な情報入手をさらに困難にします。

悪用の状況

攻撃者は、Webex サービスエンドポイントに接続し、特別に作成されたトークンを提供することで、この脆弱性を悪用する可能性があります。不十分な証明書検証により、この不正なトークンが受け入れられ、攻撃者に別のユーザーのアカウントへのアクセス権が付与されます。このアクセスは、機密情報の窃盗、会議の妨害、または組織全体のセキュリティを損なうために使用される可能性があります。悪用のリモートかつ認証されていない性質により、特に危険です。攻撃者は、初期の資格情報が不要な任意の場所から操作できるためです。KEV がないため、悪用技術を完全に理解することは困難ですが、脆弱性の説明は、トークンの操作に基づく攻撃を示唆しています。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート2 件の脅威レポート

EPSS

0.07% (21% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントwebex-meetings

ベンダーCisco

影響範囲修正版

39.7.7 – 39.7.739.7.8

39.9 – 39.939.9.1

40.4.10 – 40.4.1040.4.11

39.6 – 39.639.6.1

40.6.2 – 40.6.240.6.3

39.8.2 – 39.8.239.8.3

39.8.4 – 39.8.439.8.5

40.1 – 40.140.1.1

39.11 – 39.1139.11.1

39.7.4 – 39.7.439.7.5

39.9.1 – 39.9.139.9.2

40.4 – 40.440.4.1

40.6 – 40.640.6.1

39.7 – 39.739.7.1

39.8 – 39.839.8.1

39.8.3 – 39.8.339.8.4

40.2 – 40.240.2.1

39.10 – 39.1039.10.1

42.6 – 42.642.6.1

42.7 – 42.742.7.1

42.8 – 42.842.8.1

42.9 – 42.942.9.1

42.10 – 42.1042.10.1

42.11 – 42.1142.11.1

42.12 – 42.1242.12.1

43.1 – 43.143.1.1

43.2 – 43.243.2.1

43.3 – 43.343.3.1

43.4 – 43.443.4.1

43.4.1 – 43.4.143.4.2

43.4.2 – 43.4.243.4.3

43.5.0 – 43.5.043.5.1

43.6.0 – 43.6.043.6.1

43.6.1 – 43.6.143.6.2

43.7 – 43.743.7.1

43.8 – 43.843.8.1

43.9 – 43.943.9.1

43.10 – 43.1043.10.1

43.11 – 43.1143.11.1

43.12 – 43.1243.12.1

44.1 – 44.144.1.1

44.2 – 44.244.2.1

44.3 – 44.344.3.1

44.4 – 44.444.4.1

44.5 – 44.544.5.1

44.6 – 44.644.6.1

44.7 – 44.744.7.1

44.8 – 44.844.8.1

44.9 – 44.944.9.1

44.10 – 44.1044.10.1

44.11 – 44.1144.11.1

44.12 – 44.1244.12.1

45.1 – 45.145.1.1

45.2 – 45.245.2.1

45.3 – 45.345.3.1

45.4 – 45.445.4.1

弱点分類 (CWE)

CWE-295

タイムライン

予約済み2025-10-08
公開日2026-04-15
更新日2026-04-16
EPSS 更新日2026-04-23

未パッチ — 公開から39日経過

緩和策と回避策

Cisco が CVE-2026-20184 の直接的な修正プログラムを提供していないため、Cisco Webex Meetings を使用している組織は、直ちに軽減策を実施する必要があります。すべてのユーザーに対して多要素認証 (MFA) を実装するなど、SSO セキュリティポリシーを慎重に見直し、強化することを強くお勧めします。さらに、Webex の監査ログを注意深く監視して、疑わしいアクティビティや不正アクセス試行がないか確認してください。Control Hub サービスへのアクセスを制限するために、ネットワークセグメンテーションを検討してください。公式のソリューションがない場合でも、これらの対策を実装することで、悪用のリスクを大幅に軽減できます。Cisco の発表を常に把握し、注意して代替ソリューションまたは非公式のパッチを探してください。

修正方法翻訳中…

Actualice Cisco Webex Meetings a una versión corregida para mitigar la vulnerabilidad de validación de certificados. Consulte la advisory de Cisco (https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-cui-cert-8jSZYhWL) para obtener instrucciones específicas y versiones corregidas.