【要点】
◎CISAはCisco Unified Communications製品のゼロデイ悪用を警告し、CVE-2026-20045をKEV追加。root奪取恐れ。 (Security NEXT)
【脆弱性内容】
| 公開日 |
登録日 |
CVE番号 |
NVD |
ベンダー |
CVSS v3 |
CWE |
脆弱性 |
KEV |
備考 |
|---|---|---|---|---|---|---|---|---|---|
| 2026/01/21 | 2025/10/08 | CVE-2026-20045 | NVD | Cisco | 8.2(NVD) |
CWE-94 | コード・インジェクション | 2026/01/21 | Cisco Unified Communications Manager |
【要約】
CISAは2026年1月21日、Cisco Unified Communications関連製品でゼロデイ攻撃が展開されているとして注意喚起し、CVE-2026-20045をKEVに追加した。対象はUnified CM/SME、IM & Presence、Unity Connection、Webex Calling Dedicated Instance。Web管理画面の入力検証不備に起因するコードインジェクションで、悪用により最終的にroot権限取得の恐れがある。同日Ciscoもアドバイザリを公開し、悪用試行を確認済みと警告。CVSSv3.1は8.2だがCiscoは重要度をCriticalに引き上げ、広範な悪用リスクに注意を促している。
【ニュース】
◆米当局、Ciscoのコミュニケーション製品の脆弱性悪用に注意喚起 (Security NEXT, 2026/01/22)
https://www.security-next.com/179987
