【Cisco製品】
◆Cisco SD-WAN vManage (まとめ)
https://vul.hatenadiary.com/entry/Cisco_SD-WAN_vManage
【概要】
■脆弱性情報
| 公開日 |
登録日 |
CVE番号 |
NVD |
Vender |
CVSS v3 |
CWE |
脆弱性 |
備考 |
|---|---|---|---|---|---|---|---|---|
| 2017/09/07 | CVE-2017-6627 | NVD | Vender | 7.5(NVD) |
CWE-404 CWE-399 |
リソースの不適切なシャットダウンおよびリリース リソース管理の問題 |
Cisco IOS Software and Cisco IOS XE Software UDP Packet Processing Denial-of-Service Vulnerability | |
| 2017/09/28 | CVE-2017-12231 | NVD | Vender | 7.5(NVD) |
CWE-399 | リソース管理の問題 | Cisco IOS Software Network Address Translation Denial-of-Service Vulnerability | |
| 2017/09/28 | CVE-2017-12232 | NVD | Vender | 6.5(NVD) | CWE-399 | リソース管理の問題 | Cisco IOS Software for Cisco Integrated Services Routers Denial-of-Service Vulnerability | |
| 2017/09/28 | CVE-2017-12233 | NVD | Vender | 7.5(NVD) |
CWE-20 | 不適切な入力確認 | Cisco IOS Software Common Industrial Protocol Request Denial-of-Service Vulnerability | |
| 2017/09/28 | CVE-2017-12234 | NVD | Vender | 7.5(NVD) |
CWE-20 | 不適切な入力確認 | Cisco IOS Software Common Industrial Protocol Request Denial-of-Service Vulnerability | |
| 2017/09/28 | CVE-2017-12235 | NVD | Vender | 7.5(NVD) |
CWE-20 | 不適切な入力確認 | Cisco IOS Software for Cisco Industrial Ethernet Switches PROFINET Denial-of-Service Vulnerability | |
| 2017/09/28 | CVE-2017-12237 | NVD | Vender | 7.5(NVD) |
CWE-400 CWE-399 |
リソースの枯渇 リソース管理の問題 |
Cisco IOS and IOS XE Software Internet Key Exchange Denial-of-Service Vulnerability | |
| 2017/09/28 | CVE-2017-12240 | NVD | Vender | 9.8(NVD) |
CWE-20 CWE-119 |
不適切な入力確認 バッファエラー |
Cisco IOS and IOS XE Software DHCP Remote Code Execution Vulnerability | |
| 2018/03/27 | CVE-2017-12319 | NVD | Vender | 5.9(NVD) | CWE-20 | 不適切な入力確認 | Cisco IOS XE Software Ethernet Virtual Private Network Border Gateway Protocol Denial-of-Service Vulnerability | |
| 2018/03/08 | CVE-2018-0125 | NVD | Vender | 9.8(NVD) |
CWE-20 | 不適切な入力確認 | Cisco VPN Routers Remote Code Execution Vulnerability | |
| 2018/03/08 | CVE-2018-0147 | NVD | Vender | 9.8(NVD) |
CWE-502 CWE-20 |
信頼できないデータのデシリアライゼーション 不適切な入力確認 |
Cisco Secure Access Control System Java Deserialization Vulnerability | |
| 2018/03/28 | CVE-2018-0154 | NVD | Vender | 7.5(NVD) |
CWE-399 | リソース管理の問題 | Cisco IOS Software Integrated Services Module for VPN Denial-of-Service Vulnerability | |
| 2018/03/28 | CVE-2018-0155 | NVD | Vender | 8.6(NVD) |
CWE-755 CWE-388 |
例外的な状態における不適切な処理 エラー処理 |
Cisco Catalyst Bidirectional Forwarding Detection Denial-of-Service Vulnerability | |
| 2018/03/28 | CVE-2018-0156 | NVD | Vender | 7.5(NVD) |
CWE-20 CWE-399 |
不適切な入力確認 リソース管理の問題 |
Cisco IOS Software and Cisco IOS XE Software Smart Install Denial-of-Service Vulnerability | |
| 2018/03/28 | CVE-2018-0158 | NVD | Vender | 8.6(NVD) |
CWE-772 CWE-20 |
有効なライフタイム後のリソースの解放の欠如 不適切な入力確認 |
Cisco IOS and XE Software Internet Key Exchange Memory Leak Vulnerability | |
| 2018/03/28 | CVE-2018-0159 | NVD | Vender | 7.5(NVD) |
CWE-20 | 不適切な入力確認 | Cisco IOS and XE Software Internet Key Exchange Version 1 Denial-of-Service Vulnerability | |
| 2018/03/28 | CVE-2018-0161 | NVD | Vender | 6.3(NVD) | CWE-399 | リソース管理の問題 | Cisco IOS Software Resource Management Errors Vulnerability | |
| 2018/03/28 | CVE-2018-0167 | NVD | Vender | 8.6(NVD) |
CWE-119 | バッファエラー | Cisco IOS, XR, and XE Software Buffer Overflow Vulnerability | |
| 2018/03/28 | CVE-2018-0171 | NVD | Vender | 9.8(NVD) |
CWE-787 CWE-20 |
境界外書き込み 不適切な入力確認 |
Cisco IOS and IOS XE Software Smart Install Remote Code Execution Vulnerability | |
| 2018/03/28 | CVE-2018-0172 | NVD | Vender | 8.6(NVD) |
CWE-787 CWE-20 |
境界外書き込み 不適切な入力確認 |
Cisco IOS and IOS XE Software Improper Input Validation Vulnerability | |
| 2018/03/28 | CVE-2018-0173 | NVD | Vender | 8.6(NVD) |
CWE-20 | 不適切な入力確認 | Cisco IOS and IOS XE Software Improper Input Validation Vulnerability | |
| 2018/03/28 | CVE-2018-0174 | NVD | Vender | 8.6(NVD) |
CWE-20 | 不適切な入力確認 | Cisco IOS Software and Cisco IOS XE Software Improper Input Validation Vulnerability | |
| 2018/03/28 | CVE-2018-0175 | NVD | Vender | 8.0(NVD) |
CWE-134 CWE-119 |
書式文字列の問題 バッファエラー |
Cisco IOS, XR, and XE Software Buffer Overflow Vulnerability | |
| 2018/03/28 | CVE-2018-0179 | NVD | Vender | 5.9(NVD) | CWE-399 | リソース管理の問題 | Cisco IOS Software Denial-of-Service Vulnerability | |
| 2018/03/28 | CVE-2018-0180 | NVD | Vender | 5.9(NVD) | CWE-399 | リソース管理の問題 | Cisco IOS Software Denial-of-Service Vulnerability | |
| 2019/11/25 | CVE-2019-15271 | NVD | Vender | 8.8(NVD) 8.8(CISCO) |
CWE-502 | 信頼できないデータのデシリアライゼーション | Cisco RV Series Routers Deserialization of Untrusted Data Vulnerability | |
| 2021/05/06 | CVE-2021-1497 | NVD | Vender | 9.8(NVD) 9.8(CISCO) |
CWE-78 | OSコマンドインジェクション | Cisco HyperFlex HX Command Injection Vulnerabilities | |
| 2021/05/06 | CVE-2021-1498 | NVD | Vender | 9.8(NVD) 9.8(CISCO) |
CWE-78 | OSコマンドインジェクション | Cisco HyperFlex HX Command Injection Vulnerabilities | |
| 2022/08/10 | CVE-2022-20715 | NVD | Vender | 7.5(NVD) 8.6(Cisco) |
CWE-20 CWE-399 |
不適切な入力確認 リソース管理の問題 |
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Remote Access SSL VPN Denial of Service Vulnerability | |
| 2022/08/10 | CVE-2022-20866 | NVD | Vender | 7.5(NVD) 7.4(Cisco) |
CWE-203 | 観測可能な不一致 | Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software RSA Private Key Leak Vulnerability | |
| 2022/08/10 | CVE-2022-20829 | NVD | Vender | 7.2(NVD) 9.1(Cisco) |
CWE-345 | データの信頼性についての不十分な検証 | Cisco Adaptive Security Device Manager and Adaptive Security Appliance Software Client-side Arbitrary Code Execution Vulnerability | |
| 2022/08/10 | CVE-2022-20713 | NVD | Vender | 6.1(NVD) 4.3(Cisco) |
CWE-444 | HTTP リクエストスマグリング | Cisco Adaptive Security Appliance Software Clientless SSL VPN Client-Side Request Smuggling Vulnerability | |
| 2022/08/10 | CVE-2021-1585 | NVD | Vender | 8.1(NVD) 7.5(Cisco) |
CWE-94 | コード・インジェクション | Cisco Adaptive Security Device Manager Remote Code Execution Vulnerability | |
| 2023/10/04 | 2022/10/27 | CVE-2023-20101 | NVD | Cisco | 9.8(Cisco) |
CWE-798 | ハードコードされた認証情報の使用 | |
| 2023/10/16 | 2022/10/27 | CVE-2023-20198 | NVD | Cisco | 10.0(Cisco) |
CWE-420 | 保護されていない代替チャネル | |
| 2024/04/24 | 2023/11/08 | CVE-2024-20353 | NVD | Cisco | 8.6(Cisco) |
CWE-835 | 無限ループ | 悪用が確認 |
| 2024/04/24 | 2023/11/08 | CVE-2024-20358 | NVD | Cisco | 6.0(Cisco) |
CWE-78 | OSコマンドインジェクション | 悪用が確認 |
| 2024/04/24 | 2023/11/08 | CVE-2024-20359 | NVD | Cisco | 6.0(Cisco) |
CWE-94 | コード・インジェクション |
■Exploit Code情報
【Cisco脆弱性】
■2023年
◆CVE-2023-20198 (まとめ)
https://vul.hatenadiary.com/entry/CVE-2023-20198
■2024年
◆CVE-2024-20353 (まとめ)
https://vul.hatenadiary.com/entry/CVE-2024-20353
◆CVE-2024-20358 (まとめ)
https://vul.hatenadiary.com/entry/CVE-2024-20358
【最新情報】
◆「Cisco ASA」「FTD」に複数脆弱性 - ゼロデイ攻撃も発生 (Security NEXT, 2024/04/25)
https://www.security-next.com/156405
⇒ https://vul.hatenadiary.com/entry/2024/04/25/000000
【ニュース】
■2022年
◆シスコ製品に重要な脆弱性、アップデートを (マイナビニュース, 2022/08/12 14:37)
https://news.mynavi.jp/techplus/article/20220812-2423675/
https://vul.hatenadiary.com/entry/2022/08/12/000000_2
◆シスコの複数製品に重要な脆弱性、アップデートを (マイナビニュース, 2022/09/10 09:18)
https://news.mynavi.jp/techplus/article/20220910-2450155/
⇒ https://vul.hatenadiary.com/entry/2022/09/10/000000
◆Cisco、既知の脆弱性28件が「悪用済み」であると公表 (Security NEXT, 2022/12/21)
https://www.security-next.com/142394
⇒ https://vul.hatenadiary.com/entry/2022/12/21/000000
■2023年
◆Ciscoの「SD-WAN」管理製品に深刻な脆弱性 - アップデートを (Security NEXT, 2023/07/14)
https://www.security-next.com/147844
⇒ https://vul.hatenadiary.com/entry/2023/07/14/000000
◆シスコ製品に緊急の脆弱性、確認とアップデートを (マイナビニュース, 2023/07/14 08:15)
https://news.mynavi.jp/techplus/article/20230714-2726611/
⇒ https://vul.hatenadiary.com/entry/2023/07/14/000000_1
◆「Cisco Catalyst SD-WAN Manager」に複数の脆弱性 - 「クリティカル」も (Security NEXT, 2023/09/28)
https://www.security-next.com/149794
⇒ https://vul.hatenadiary.com/entry/2023/09/28/000000_1
◆シスコの複数製品に緊急の脆弱性、CISAが警告 (マイナビニュース, 2023/09/30 16:06)
https://news.mynavi.jp/techplus/article/20230930-2781442/
⇒ https://vul.hatenadiary.com/entry/2023/09/30/000000
◆Cisco fixes hard-coded root credentials in Emergency Responder (BleepingComputer, 2023/10/04 12:43)
[シスコ、Emergency Responderのハードコードされたルート認証情報を修正]
https://www.bleepingcomputer.com/news/security/cisco-fixes-hard-coded-root-credentials-in-emergency-responder/
⇒ https://vul.hatenadiary.com/entry/2023/10/04/000000
◆Ciscoのネットワーク機器向けOS「Cisco IOS XE」にデバイスの完全な制御を取得できるゼロデイ脆弱性が存在、既に攻撃を確認済み (Gigazine, 202310/17 12:10)
https://gigazine.net/news/20231017-cisco-ios-xe-0-day/
⇒ https://vul.hatenadiary.com/entry/2023/10/17/000000
◆シスコ製品にCVSS 10.0の緊急脆弱性、確認と対応を (マイナビニュース, 2023/10/18 09:29)
https://news.mynavi.jp/techplus/article/20231018-2794937/
⇒ https://vul.hatenadiary.com/entry/2023/10/18/000000_1
■2024年
◇2024年4月
◆「Cisco ASA」「FTD」に複数脆弱性 - ゼロデイ攻撃も発生 (Security NEXT, 2024/04/25)
https://www.security-next.com/156405
⇒ https://vul.hatenadiary.com/entry/2024/04/25/000000
【公開情報】
◆Cisco Releases Security Advisories for Multiple Products (CISA, 2023/09/28)
https://www.cisa.gov/news-events/alerts/2023/09/28/cisco-releases-security-advisories-multiple-products
⇒ https://vul.hatenadiary.com/entry/2023/09/28/000000
◆Cisco IOS XEのWeb UIにおける権限昇格の脆弱性(CVE-2023-20198)に関する注意喚起 (JPCERT/CC, 2023/10/18)
https://www.jpcert.or.jp/at/2023/at230025.html
⇒ https://vul.hatenadiary.com/entry/2023/10/18/000000
【関連まとめ記事】
