| Title | シスコシステムズのCisco Identity Services Engine (ISE)におけるコマンドインジェクションの脆弱性 |
|---|---|
| Summary | Cisco Identity Services Engine (ISE) における脆弱性により、認証済みのリモート攻撃者が影響を受けるデバイスの基盤となるオペレーティングシステム上で任意のコマンドを実行できる可能性があります。この脆弱性を悪用するには、攻撃者が少なくとも読み取り専用の管理者権限を持っている必要があります。この脆弱性は、ユーザーから提供された入力の検証が不十分であることに起因します。攻撃者は、細工されたHTTPリクエストを影響を受けるデバイスに送信することでこの脆弱性を悪用できます。成功した悪用により、攻撃者は基盤となるオペレーティングシステムへのユーザーレベルのアクセス権を取得し、その後特権をrootに昇格させることが可能となります。単一ノードのISE展開においては、これらの脆弱性が成功裏に悪用されると、影響を受けるISEノードが利用できなくなり、サービス拒否(DoS)状態を引き起こします。その場合、まだ認証されていないエンドポイントはノードが復旧するまでネットワークにアクセスできません。 |
| Possible impacts | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 15, 2026, midnight |
| Registration Date | June 30, 2026, 11:23 a.m. |
| Last Update | June 30, 2026, 11:23 a.m. |
| CVSS3.0 : 緊急 | |
| Score | 9.9 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
| シスコシステムズ |
| Cisco Identity Services Engine (ISE) 3.2.0 |
| Cisco Identity Services Engine (ISE) 3.2.0 未満 |
| Cisco Identity Services Engine (ISE) 3.3.0 |
| Cisco Identity Services Engine (ISE) 3.4.0 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月30日] 掲載 |
June 30, 2026, 11:23 a.m. |
| Summary | A vulnerability in Cisco Identity Services Engine (ISE) could allow an authenticated, remote attacker to execute arbitrary commands on the underlying operating system of an affected device. To exploit this vulnerability, the attacker must have at least Read Only Admin credentials. This vulnerability is due to insufficient validation of user-supplied input. An attacker could exploit this vulnerability by sending a crafted HTTP request to an affected device. A successful exploit could allow the attacker to obtain user-level access to the underlying operating system and then elevate privileges to root. In single-node ISE deployments, successful exploitation of these vulnerabilities could cause the affected ISE node to become unavailable, resulting in a denial of service (DoS) condition. In that condition, endpoints that have not already authenticated would be unable to access the network until the node is restored. |
|---|---|
| Publication Date | April 16, 2026, 2:17 a.m. |
| Registration Date | April 17, 2026, 4:11 a.m. |
| Last Update | April 18, 2026, 12:09 a.m. |