【CVE-2025-20130】Cisco ISEにて任意ファイルアップロードの脆弱性

概要

• 発行日:2025-06-04
• 該当CVE ID:CVE-2025-20130
• CvSSv3スコア:4.9 (Medium)

脆弱性の概要

• CVE-2024-20130

Cisco Identity Services Engine（ISE）のWeb管理UIにて
ファイルアップロード時の入力検証の不備により、
認証済みユーザーが任意のファイルをアップロードできる問題。
悪用されると、管理UI経由で任意コードの実行が可能。ISE上での操作が奪取される恐れあり
≠未認証攻撃ではないが、影響範囲は深刻

影響を受ける製品

認証済みかつ特定権限を持つ管理ユーザーによるアクセスを条件とし、下方のバージョンに影響

• Cisco ISE 3.1.x、3.2.x、3.3.x 系列（Patch適用前の全バージョン）
• ISE Passive Identity Connector 使用環境も同様に対象

対処法

• 修正済みバージョンへの移行
• ISE 3.2 Patch 7、ISE 3.3 Patch 2/3 など（パッチ含む最新版）
  → 今すぐアップグレード or パッチ適用を推奨
  
  下方のURLを参考にしてください。
  Cisco Identity Services Engine Arbitrary File Upload Vulnerability

ワークアラウンド(回避策)

• なし

レスポンスマトリックス

Cisco.com の「Cisco サポートおよびダウンロード」ページでは、ライセンスとダウンロードに関する情報を提供しています。

このページでは、My Devices ツールをご利用のお客様のデバイスサポート範囲も確認できます。

関連リンク:Cisco Identity Services Engine Arbitrary File Upload Vulnerability

最後に

• ITに関するご相談やご依頼はこちらのGoogleFormから！
  →https://t.co/lNWmSw5mpM
  (担当SEがご対応いたします)

• 弊社の公式X(旧Twitter)が開設しました！フォローしていただけると最新の脆弱性情報や
  中の人の日常投稿などが見れます！
  →https://x.com/esunekk
  　

Follow @esunekk

Tweets by @esunekk

初回執筆:2025年6月24日