I.概要

2020年11月16日 (現地時間)、Cisco は Cisco Security Manager の複数の脆弱性 (CVE-2020-27125、CVE-2020-27130、CVE-2020-27131) に関する情報を公開しました。本脆弱性が悪用された場合、遠隔の第三者が当該製品上から任意のファイルをダウンロードしたり、任意の Java コードを管理者権限で実行したりする可能性があります。

Cisco Security Manager Static Credential Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-rce-8gjUz9fW
※CVE-2020-27125 のアドバイザリ

Cisco Security Manager Path Traversal Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-path-trav-NgeRnqgR
※CVE-2020-27130 のアドバイザリ

Cisco Security Manager Java Deserialization Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-java-rce-mWJEedcD
※CVE-2020-27131 のアドバイザリ

II.対象

本脆弱性の影響を受けるバージョンは次のとおりです。

– Cisco Security Manager リリース 4.21 を含む前のバージョン
CVE-2020-27131
– Cisco Security Manager リリース 4.22 を含む前のバージョン

III.対策

Cisco より、本脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みバージョンへ適用をご検討ください。なお、CVE-2020-27131に対する修正バージョンは、2020年11月18日時点で公開されていません。

IV. 参考情報

Cisco
Cisco Security Manager Static Credential Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-rce-8gjUz9fW
※CVE-2020-27125 のアドバイザリ

Cisco Security Manager Path Traversal Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-path-trav-NgeRnqgR
※CVE-2020-27130 のアドバイザリ

Cisco Security Manager Java Deserialization Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-java-rce-mWJEedcD
※CVE-2020-27131 のアドバイザリ

CVE-2020-27125, CVE-2020-27130, CVE-2020-27131: Pre-Authentication Vulnerabilities in Cisco Security Manager Disclosed
https://jp.tenable.com/blog/cve-2020-27125-cve-2020-27130-cve-2020-27131-vulnerabilities-in-cisco-security-manager