【Cisco製品】
◆Cisco ASA (まとめ)
https://vul.hatenadiary.com/entry/Cisco_ASA
◆Cisco SD-WAN vManage (まとめ)
https://vul.hatenadiary.com/entry/Cisco_SD-WAN_vManage
◆Cisco FMC (まとめ)
https://vul.hatenadiary.com/entry/Cisco_FMC
【概要】
■脆弱性情報
| 公開日 |
登録日 |
CVE番号 |
NVD |
Vender |
CVSS v3 |
CWE |
脆弱性 |
KEV |
備考 |
|---|---|---|---|---|---|---|---|---|---|
| 2017/09/07 | CVE-2017-6627 | NVD | Vender | 7.5(NVD) |
CWE-404 CWE-399 |
リソースの不適切なシャットダウンおよびリリース リソース管理の問題 |
Cisco IOS Software and Cisco IOS XE Software UDP Packet Processing Denial-of-Service Vulnerability | ||
| 2017/09/28 | CVE-2017-12231 | NVD | Vender | 7.5(NVD) |
CWE-399 | リソース管理の問題 | Cisco IOS Software Network Address Translation Denial-of-Service Vulnerability | ||
| 2017/09/28 | CVE-2017-12232 | NVD | Vender | 6.5(NVD) | CWE-399 | リソース管理の問題 | Cisco IOS Software for Cisco Integrated Services Routers Denial-of-Service Vulnerability | ||
| 2017/09/28 | CVE-2017-12233 | NVD | Vender | 7.5(NVD) |
CWE-20 | 不適切な入力確認 | Cisco IOS Software Common Industrial Protocol Request Denial-of-Service Vulnerability | ||
| 2017/09/28 | CVE-2017-12234 | NVD | Vender | 7.5(NVD) |
CWE-20 | 不適切な入力確認 | Cisco IOS Software Common Industrial Protocol Request Denial-of-Service Vulnerability | ||
| 2017/09/28 | CVE-2017-12235 | NVD | Vender | 7.5(NVD) |
CWE-20 | 不適切な入力確認 | Cisco IOS Software for Cisco Industrial Ethernet Switches PROFINET Denial-of-Service Vulnerability | ||
| 2017/09/28 | CVE-2017-12237 | NVD | Vender | 7.5(NVD) |
CWE-400 CWE-399 |
リソースの枯渇 リソース管理の問題 |
Cisco IOS and IOS XE Software Internet Key Exchange Denial-of-Service Vulnerability | ||
| 2017/09/28 | CVE-2017-12240 | NVD | Vender | 9.8(NVD) |
CWE-20 CWE-119 |
不適切な入力確認 バッファエラー |
Cisco IOS and IOS XE Software DHCP Remote Code Execution Vulnerability | ||
| 2018/03/27 | CVE-2017-12319 | NVD | Vender | 5.9(NVD) | CWE-20 | 不適切な入力確認 | Cisco IOS XE Software Ethernet Virtual Private Network Border Gateway Protocol Denial-of-Service Vulnerability | ||
| 2018/03/08 | CVE-2018-0125 | NVD | Vender | 9.8(NVD) |
CWE-20 | 不適切な入力確認 | Cisco VPN Routers Remote Code Execution Vulnerability | ||
| 2018/03/08 | CVE-2018-0147 | NVD | Vender | 9.8(NVD) |
CWE-502 CWE-20 |
信頼できないデータのデシリアライゼーション 不適切な入力確認 |
Cisco Secure Access Control System Java Deserialization Vulnerability | ||
| 2018/03/28 | CVE-2018-0154 | NVD | Vender | 7.5(NVD) |
CWE-399 | リソース管理の問題 | Cisco IOS Software Integrated Services Module for VPN Denial-of-Service Vulnerability | ||
| 2018/03/28 | CVE-2018-0155 | NVD | Vender | 8.6(NVD) |
CWE-755 CWE-388 |
例外的な状態における不適切な処理 エラー処理 |
Cisco Catalyst Bidirectional Forwarding Detection Denial-of-Service Vulnerability | ||
| 2018/03/28 | CVE-2018-0156 | NVD | Vender | 7.5(NVD) |
CWE-20 CWE-399 |
不適切な入力確認 リソース管理の問題 |
Cisco IOS Software and Cisco IOS XE Software Smart Install Denial-of-Service Vulnerability | ||
| 2018/03/28 | CVE-2018-0158 | NVD | Vender | 8.6(NVD) |
CWE-772 CWE-20 |
有効なライフタイム後のリソースの解放の欠如 不適切な入力確認 |
Cisco IOS and XE Software Internet Key Exchange Memory Leak Vulnerability | ||
| 2018/03/28 | CVE-2018-0159 | NVD | Vender | 7.5(NVD) |
CWE-20 | 不適切な入力確認 | Cisco IOS and XE Software Internet Key Exchange Version 1 Denial-of-Service Vulnerability | ||
| 2018/03/28 | CVE-2018-0161 | NVD | Vender | 6.3(NVD) | CWE-399 | リソース管理の問題 | Cisco IOS Software Resource Management Errors Vulnerability | ||
| 2018/03/28 | CVE-2018-0167 | NVD | Vender | 8.6(NVD) |
CWE-119 | バッファエラー | Cisco IOS, XR, and XE Software Buffer Overflow Vulnerability | ||
| 2018/03/28 | CVE-2018-0171 | NVD | Vender | 9.8(NVD) |
CWE-787 CWE-20 |
境界外書き込み 不適切な入力確認 |
Cisco IOS and IOS XE Software Smart Install Remote Code Execution Vulnerability | ||
| 2018/03/28 | CVE-2018-0172 | NVD | Vender | 8.6(NVD) |
CWE-787 CWE-20 |
境界外書き込み 不適切な入力確認 |
Cisco IOS and IOS XE Software Improper Input Validation Vulnerability | ||
| 2018/03/28 | CVE-2018-0173 | NVD | Vender | 8.6(NVD) |
CWE-20 | 不適切な入力確認 | Cisco IOS and IOS XE Software Improper Input Validation Vulnerability | ||
| 2018/03/28 | CVE-2018-0174 | NVD | Vender | 8.6(NVD) |
CWE-20 | 不適切な入力確認 | Cisco IOS Software and Cisco IOS XE Software Improper Input Validation Vulnerability | ||
| 2018/03/28 | CVE-2018-0175 | NVD | Vender | 8.0(NVD) |
CWE-134 CWE-119 |
書式文字列の問題 バッファエラー |
Cisco IOS, XR, and XE Software Buffer Overflow Vulnerability | ||
| 2018/03/28 | CVE-2018-0179 | NVD | Vender | 5.9(NVD) | CWE-399 | リソース管理の問題 | Cisco IOS Software Denial-of-Service Vulnerability | ||
| 2018/03/28 | CVE-2018-0180 | NVD | Vender | 5.9(NVD) | CWE-399 | リソース管理の問題 | Cisco IOS Software Denial-of-Service Vulnerability | ||
| 2019/11/25 | CVE-2019-15271 | NVD | Vender | 8.8(NVD) 8.8(CISCO) |
CWE-502 | 信頼できないデータのデシリアライゼーション | Cisco RV Series Routers Deserialization of Untrusted Data Vulnerability | ||
| 2021/05/06 | CVE-2021-1497 | NVD | Vender | 9.8(NVD) 9.8(CISCO) |
CWE-78 | OSコマンドインジェクション | Cisco HyperFlex HX Command Injection Vulnerabilities | ||
| 2021/05/06 | CVE-2021-1498 | NVD | Vender | 9.8(NVD) 9.8(CISCO) |
CWE-78 | OSコマンドインジェクション | Cisco HyperFlex HX Command Injection Vulnerabilities | ||
| 2022/08/10 | CVE-2022-20715 | NVD | Vender | 7.5(NVD) 8.6(Cisco) |
CWE-20 CWE-399 |
不適切な入力確認 リソース管理の問題 |
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Remote Access SSL VPN Denial of Service Vulnerability | ||
| 2022/08/10 | CVE-2022-20866 | NVD | Vender | 7.5(NVD) 7.4(Cisco) |
CWE-203 | 観測可能な不一致 | Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software RSA Private Key Leak Vulnerability | ||
| 2022/08/10 | CVE-2022-20829 | NVD | Vender | 7.2(NVD) 9.1(Cisco) |
CWE-345 | データの信頼性についての不十分な検証 | Cisco Adaptive Security Device Manager and Adaptive Security Appliance Software Client-side Arbitrary Code Execution Vulnerability | ||
| 2022/08/10 | CVE-2022-20713 | NVD | Vender | 6.1(NVD) 4.3(Cisco) |
CWE-444 | HTTP リクエストスマグリング | - | Cisco Adaptive Security Appliance Software Clientless SSL VPN Client-Side Request Smuggling Vulnerability | |
| 2022/08/10 | CVE-2021-1585 | NVD | Vender | 8.1(NVD) 7.5(Cisco) |
CWE-94 | コード・インジェクション | - | Cisco Adaptive Security Device Manager Remote Code Execution Vulnerability | |
| 2023/10/04 | 2022/10/27 | CVE-2023-20101 | NVD | Cisco | 9.8(Cisco) |
CWE-798 | ハードコードされた認証情報の使用 | - | |
| 2023/10/16 | 2022/10/27 | CVE-2023-20198 | NVD | Cisco | 10.0(Cisco) |
CWE-420 | 保護されていない代替チャネル | 2023/10/16 | Cisco IOS XE |
| 2024/04/24 | 2023/11/08 | CVE-2024-20353 | NVD | Cisco | 8.6(Cisco) |
CWE-835 | 無限ループ | 2024/04/24 | |
| 2024/04/24 | 2023/11/08 | CVE-2024-20358 | NVD | Cisco | 6.0(Cisco) |
CWE-78 | OSコマンドインジェクション | - | |
| 2024/04/24 | 2023/11/08 | CVE-2024-20359 | NVD | Cisco | 6.0(Cisco) |
CWE-94 | コード・インジェクション | 2024/04/24 | |
| 2025/08/14 | 2024/10/10 | CVE-2025-20265 | NVD | Cisco | 10.0(Cisco) |
CWE-74 | インジェクション | - | Cisco Secure Firewall Management Center (FMC) |
| 2025/09/25 | 2024/10/10 | CVE-2025-20333 | NVD | Cisco | 9.9(Cisco) |
CWE-120 | 古典的バッファオーバーフロー | 2025/09/25 | Cisco ASA |
| 2025/09/25 | 2024/10/10 | CVE-2025-20362 | NVD | Cisco | 6.3(Cisco) |
CWE-120 | 古典的バッファオーバーフロー | - | Cisco ASA |
■Exploit Code情報
【Cisco脆弱性】
■2023年
◆CVE-2023-20198 (まとめ)
https://vul.hatenadiary.com/entry/CVE-2023-20198
■2024年
◆CVE-2024-20353 (まとめ)
https://vul.hatenadiary.com/entry/CVE-2024-20353
◆CVE-2024-20358 (まとめ)
https://vul.hatenadiary.com/entry/CVE-2024-20358
【最新情報】
◆「Cisco IOS XR」など複数Cisco製品に脆弱性 (Security NEXT, 2024/09/12)
https://www.security-next.com/161801
⇒ https://vul.hatenadiary.com/entry/2024/09/12/000000_1
【ニュース】
■2022年
◆シスコ製品に重要な脆弱性、アップデートを (マイナビニュース, 2022/08/12 14:37)
https://news.mynavi.jp/techplus/article/20220812-2423675/
https://vul.hatenadiary.com/entry/2022/08/12/000000_2
◆シスコの複数製品に重要な脆弱性、アップデートを (マイナビニュース, 2022/09/10 09:18)
https://news.mynavi.jp/techplus/article/20220910-2450155/
⇒ https://vul.hatenadiary.com/entry/2022/09/10/000000
◆Cisco、既知の脆弱性28件が「悪用済み」であると公表 (Security NEXT, 2022/12/21)
https://www.security-next.com/142394
⇒ https://vul.hatenadiary.com/entry/2022/12/21/000000
■2023年
◆Ciscoの「SD-WAN」管理製品に深刻な脆弱性 - アップデートを (Security NEXT, 2023/07/14)
https://www.security-next.com/147844
⇒ https://vul.hatenadiary.com/entry/2023/07/14/000000
◆シスコ製品に緊急の脆弱性、確認とアップデートを (マイナビニュース, 2023/07/14 08:15)
https://news.mynavi.jp/techplus/article/20230714-2726611/
⇒ https://vul.hatenadiary.com/entry/2023/07/14/000000_1
◆「Cisco Catalyst SD-WAN Manager」に複数の脆弱性 - 「クリティカル」も (Security NEXT, 2023/09/28)
https://www.security-next.com/149794
⇒ https://vul.hatenadiary.com/entry/2023/09/28/000000_1
◆シスコの複数製品に緊急の脆弱性、CISAが警告 (マイナビニュース, 2023/09/30 16:06)
https://news.mynavi.jp/techplus/article/20230930-2781442/
⇒ https://vul.hatenadiary.com/entry/2023/09/30/000000
◆Cisco fixes hard-coded root credentials in Emergency Responder (BleepingComputer, 2023/10/04 12:43)
[シスコ、Emergency Responderのハードコードされたルート認証情報を修正]
https://www.bleepingcomputer.com/news/security/cisco-fixes-hard-coded-root-credentials-in-emergency-responder/
⇒ https://vul.hatenadiary.com/entry/2023/10/04/000000
◆Ciscoのネットワーク機器向けOS「Cisco IOS XE」にデバイスの完全な制御を取得できるゼロデイ脆弱性が存在、既に攻撃を確認済み (Gigazine, 202310/17 12:10)
https://gigazine.net/news/20231017-cisco-ios-xe-0-day/
⇒ https://vul.hatenadiary.com/entry/2023/10/17/000000
◆シスコ製品にCVSS 10.0の緊急脆弱性、確認と対応を (マイナビニュース, 2023/10/18 09:29)
https://news.mynavi.jp/techplus/article/20231018-2794937/
⇒ https://vul.hatenadiary.com/entry/2023/10/18/000000_1
■2024年
◇2024年4月
◆「Cisco ASA」「FTD」に複数脆弱性 - ゼロデイ攻撃も発生 (Security NEXT, 2024/04/25)
https://www.security-next.com/156405
⇒ https://vul.hatenadiary.com/entry/2024/04/25/000000
◇2024年7月
◆「Cisco IOS XR」に脆弱性、「Blast-RADIUS」の影響は調査中 (Security NEXT, 2024/07/12)
https://www.security-next.com/159628
⇒ https://vul.hatenadiary.com/entry/2024/07/12/000000
◇2024年8月
◆「Cisco SSM」の深刻な脆弱性 - 実証コードが公開 (2024/08/08)
https://www.security-next.com/160688
⇒ https://vul.hatenadiary.com/entry/2024/08/08/000000_4
◆シスコのIP電話に緊急の脆弱性、確認と交換を (マイナビニュース, 2024/08/13 13:40)
https://news.mynavi.jp/techplus/article/20240813-3002777/
⇒ https://vul.hatenadiary.com/entry/2024/08/13/000000_2
◇2024年9月
◆「Cisco IOS XR」など複数Cisco製品に脆弱性 (Security NEXT, 2024/09/12)
https://www.security-next.com/161801
⇒ https://vul.hatenadiary.com/entry/2024/09/12/000000_1
◇2024年10月
◆Cisco fixes VPN DoS flaw discovered in password spray attacks (BleepingComputer, 2024/10/24 14:06)
[シスコ、パスワードスプレー攻撃で発見されたVPN DoSの脆弱性を修正]
https://www.bleepingcomputer.com/news/security/cisco-fixes-vpn-dos-flaw-discovered-in-password-spray-attacks/
⇒ https://vul.hatenadiary.com/entry/2024/10/24/000000_5
■2025年
◇2025年6月
◆シスコの複数製品に緊急の脆弱性、直ちに確認とアップデートを (マイナビニュース, 2025/06/06 12:53)
https://news.mynavi.jp/techplus/article/20250606-3345702/
⇒ https://vul.hatenadiary.com/entry/2025/06/06/000000
◆「Cisco Meraki 」にDoS脆弱性 - SSL VPN処理で強制再起動 (Security NEXT, 2025/06/20)
https://www.security-next.com/171596
⇒ https://vul.hatenadiary.com/entry/2025/06/20/000000
◇2025年7月
◆Max severity Cisco ISE bug allows pre-auth command execution, patch now (BleepingComputer, 2025/07/17 11:53)
[Cisco ISEの重大な脆弱性により、認証前のコマンド実行が可能になります。パッチを今すぐ適用してください]
https://www.bleepingcomputer.com/news/security/max-severity-cisco-ise-bug-allows-pre-auth-command-execution-patch-now/
⇒ https://vul.hatenadiary.com/entry/2025/07/17/000000
◇2025年8月
◆Cisco、ファイアウォール製品群にアドバイザリ21件を公開 (Security NEXT, 2025/08/15)
https://www.security-next.com/173423
⇒ https://vul.hatenadiary.com/entry/2025/08/15/000000_7
◆Cisco warns of max severity flaw in Firewall Management Center (BleepingComputer, 2025/08/15 09:57)
[シスコは、ファイアウォール管理センターに最大レベルの深刻な脆弱性が存在することを警告しています]
https://www.bleepingcomputer.com/news/security/cisco-warns-of-max-severity-flaw-in-firewall-management-center/
⇒ https://vul.hatenadiary.com/entry/2025/08/15/000000_2
◇2025年9月
◆Cisco warns of ASA firewall zero-days exploited in attacks (BleepingComputer, 2025/09/25 12:49)
[シスコ、攻撃で悪用されたASAファイアウォールのゼロデイ脆弱性を警告]
https://www.bleepingcomputer.com/news/security/cisco-warns-of-asa-firewall-zero-days-exploited-in-attacks/
⇒ https://vul.hatenadiary.com/entry/2025/09/25/000000_1
◆CISA orders agencies to patch Cisco flaws exploited in zero-day attacks (BleepingComputer, 2025/09/25 13:52)
[CISA、ゼロデイ攻撃で悪用されたシスコの脆弱性修正を各機関に指示]
https://www.bleepingcomputer.com/news/security/cisa-orders-agencies-to-patch-cisco-flaws-exploited-in-zero-day-attacks/
⇒ https://vul.hatenadiary.com/entry/2025/09/25/000000_2
◆「Cisco IOS/IOS XE」に脆弱性 - すでに悪用やPoC公開も (Security NEXT, 2025/09/25)
https://www.security-next.com/174892
⇒ https://vul.hatenadiary.com/entry/2025/09/25/000000
【公開情報】
◆Cisco Releases Security Advisories for Multiple Products (CISA, 2023/09/28)
https://www.cisa.gov/news-events/alerts/2023/09/28/cisco-releases-security-advisories-multiple-products
⇒ https://vul.hatenadiary.com/entry/2023/09/28/000000
◆Cisco IOS XEのWeb UIにおける権限昇格の脆弱性(CVE-2023-20198)に関する注意喚起 (JPCERT/CC, 2023/10/18)
https://www.jpcert.or.jp/at/2023/at230025.html
⇒ https://vul.hatenadiary.com/entry/2023/10/18/000000
【関連まとめ記事】
