シスコシステムズのCisco Identity Services Engine (ISE)におけるコマンドインジェクションの脆弱性
タイトル シスコシステムズのCisco Identity Services Engine (ISE)におけるコマンドインジェクションの脆弱性
概要

Cisco Identity Services Engine (ISE) における脆弱性により、認証済みのリモート攻撃者が影響を受けるデバイスの基盤となるオペレーティングシステム上で任意のコマンドを実行できる可能性があります。この脆弱性を悪用するには、攻撃者が少なくとも読み取り専用の管理者権限を持っている必要があります。この脆弱性は、ユーザーから提供された入力の検証が不十分であることに起因します。攻撃者は、細工されたHTTPリクエストを影響を受けるデバイスに送信することでこの脆弱性を悪用できます。成功した悪用により、攻撃者は基盤となるオペレーティングシステムへのユーザーレベルのアクセス権を取得し、その後特権をrootに昇格させることが可能となります。単一ノードのISE展開においては、これらの脆弱性が成功裏に悪用されると、影響を受けるISEノードが利用できなくなり、サービス拒否(DoS)状態を引き起こします。その場合、まだ認証されていないエンドポイントはノードが復旧するまでネットワークにアクセスできません。

想定される影響 ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 
対策

ベンダ情報を参照して適切な対策を実施してください。

公表日 2026年4月15日0:00
登録日 2026年6月30日11:23
最終更新日 2026年6月30日11:23
CVSS3.0 : 緊急
スコア 9.9
ベクター CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
影響を受けるシステム
シスコシステムズ
Cisco Identity Services Engine (ISE) 3.2.0
Cisco Identity Services Engine (ISE) 3.2.0 未満
Cisco Identity Services Engine (ISE) 3.3.0
Cisco Identity Services Engine (ISE) 3.4.0
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
変更履歴
No 変更内容 変更日
1 [2026年06月30日]
  掲載
2026年6月30日11:23

NVD脆弱性情報
CVE-2026-20186
概要

A vulnerability in Cisco Identity Services Engine (ISE) could allow an authenticated, remote attacker to execute arbitrary commands on the underlying operating system of an affected device. To exploit this vulnerability, the attacker must have at least Read Only Admin credentials.

This vulnerability is due to insufficient validation of user-supplied input. An attacker could exploit this vulnerability by sending a crafted HTTP request to an affected device. A successful exploit could allow the attacker to obtain user-level access to the underlying operating system and then elevate privileges to root. In single-node ISE deployments, successful exploitation of these vulnerabilities could cause the affected ISE node to become unavailable, resulting in a denial of service (DoS) condition. In that condition, endpoints that have not already authenticated would be unable to access the network until the node is restored.

公表日 2026年4月16日2:17
登録日 2026年4月17日4:11
最終更新日 2026年4月18日0:09
関連情報、対策とツール
共通脆弱性一覧