製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

シスコシステムズのIntersight Device Connectorにおける複数の脆弱性

タイトル	シスコシステムズのIntersight Device Connectorにおける複数の脆弱性
概要	Cisco Intersight Device Connector for Nutanix Prism Centralに不適切なアクセス制御の脆弱性があります。このサービスはTCPポート7373でAPIパススルーエンドポイントを公開しており、デプロイ環境のネットワーク範囲内で認証なしにアクセスできます。ネットワークアクセス権を持つ認証されていない攻撃者は、細工されたリクエストをこの公開されたエンドポイントに送信することで、仮想マシン情報やクラスター構成の詳細を含むクラスターのメタデータを列挙できます。APIは主に読み取り専用操作をサポートしていますが、一部のクラスター保守ワークフローの呼び出しも許可しています。この脆弱性により、システム構成の永続的な変更や認証情報・機密ユーザーデータへのアクセスは許可されません。しかし、成功した攻撃によりアクティブなワークロードを妨害し、影響を受ける環境内でサービスの可用性が損なわれる可能性があります。
想定される影響	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月28日0:00
登録日	2026年5月20日13:21
最終更新日	2026年5月20日13:21

CVSS3.0 : 重要
スコア	8.2
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:H

CVSS2.0 : 危険
スコア	8.5
ベクター	AV:N/AC:L/Au:N/C:P/I:N/A:C

影響を受けるシステム

シスコシステムズ

Intersight Device Connector 4.3.0 から 7.5.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-5944	https://www.cve.org/CVERecord?id=CVE-2026-5944
National Vulnerability Database (NVD)
2	CVE-2026-5944	https://nvd.nist.gov/vuln/detail/CVE-2026-5944

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-306	https://cwe.mitre.org/data/definitions/306.html
2	CWE-862	https://cwe.mitre.org/data/definitions/862.html

ベンダー情報

No	名前	URL
Nutanix
1	https://download.nutanix.com/alerts/Security_Advisory_0046.pdf	https://download.nutanix.com/alerts/Security_Advisory_0046.pdf
2	Nutanix Support & Insights	https://portal.nutanix.com/page/documents/list?type=software&filterKey=software&filterVal=Prism
3	Product Support	https://www.nutanix.com/support

変更履歴

No	変更内容	変更日
1	[2026年05月20日] 掲載	2026年5月20日13:21

NVD脆弱性情報

CVE-2026-5944

概要	An improper access control vulnerability exists in the Cisco Intersight Device Connector for Nutanix Prism Central. The service exposes an API passthrough endpoint on TCP port 7373 that is accessible within the network scope of the deployment environment without authentication. An unauthenticated attacker with network access can exploit this vulnerability by sending crafted requests to the exposed endpoint to enumerate cluster metadata, including virtual machine information and cluster configuration details. While the API primarily supports read-only operations, it also allows certain cluster maintenance workflows to be invoked. Although this vulnerability does not allow persistent modification of system configurations or access to credentials or sensitive user data, successful exploitation may result in disruption of active workloads, leading to loss of service availability within the affected environment.
公表日	2026年4月28日23:16
登録日	2026年4月29日4:08
最終更新日	2026年4月28日23:16

関連情報、対策とツール

No	URL	refsource	タグ
1	https://download.nutanix.com/alerts/Security_Advisory_0046.pdf	2ffdacf6-8681-47df-b023-4f11abd61c1d
2	https://portal.nutanix.com/page/documents/list?type=software&filterKey=software&filterVal=Prism	2ffdacf6-8681-47df-b023-4f11abd61c1d
3	https://www.nutanix.com/support	2ffdacf6-8681-47df-b023-4f11abd61c1d

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-306	重要な機能に対する認証の欠如解説	https://cwe.mitre.org/data/definitions/306.html
2	CWE-862	認証の欠如	https://cwe.mitre.org/data/definitions/862.html