【CVE-2025-32433】複数のCisco製品におけるErlang/OTP SSHサーバの認証なしリモートコード実行【最終更新】
Esune@dmin概要
- 発行日:2025-4-22
- 更新日:2025-6-6 (最終)
- 該当CVE ID:CVE-2025-32433
- CvSSv3スコア:10.0 (Critical)
脆弱性の概要
- CVE-2025-32433
2025年4月16日、Erlang/OTP SSHサーバに重大な脆弱性が公開されました。
この脆弱性により、認証されていないリモート攻撃者が影響を受けたデバイスでリモートコード実行(RCE)を行える可能性があります。
原因:SSHの認証フェーズ中のメッセージ処理の欠陥。
影響を受ける製品
| Cisco製品 | Bug ID | 修正済みバージョン / 状況 |
|---|---|---|
| ConfD, ConfD Basic | CSCwo83759 | 複数のバージョン(例:7.7.19.1, 8.4.4.1など)で修正済みリリース提供中 |
| NSO(Network Services Orchestrator) | CSCwo83796 | 修正済みリリース(例:6.4.4.1)提供中 |
| Smart PHY | CSCwo83751 | 修正予定:2025年9月リリース(v25.2) |
| Optical Site Manager(NCS 1000向け) | CSCwo83800 | 修正予定:2025年6月・9月のリリース |
| Shelf Virtualization Orchestrator(NCS 2000向け) | CSCwo83774 | 修正予定:2025年6月リリース(v25.1.1) |
| Ultra Cloud Core 各種機能(AMF, PCF, SMFなど) | CSCwo83785 など | 修正予定:2025年8月リリース(v2025.03.1) |
なお、下方の製品は影響を受けません。
- Cisco ASA / FMC / FTD ソフトウェア
- IOS / IOS XE / IOS XR / NX-OS ソフトウェア
- Meraki 製品
- Catalyst SD-WAN / Center
- Identity Services Engine (ISE)
- Expressway / TelePresence
対処法
- 回避策・修正ソフトウェアは、各製品のCiscoバグIDに記載。
- ソフトウェアアップデートを検討する際は、十分なメモリやハードウェアの互換性を確認すること。
ワークアラウンド(回避策)
- CiscoのバグIDを参照してください
レスポンスマトリックス
Cisco.com の「Cisco サポートおよびダウンロード」ページでは、ライセンスとダウンロードに関する情報を提供しています。
このページでは、My Devices ツールをご利用のお客様のデバイスサポート範囲も確認できます。
初回執筆:2025年6月2日
