Cisco ISEの脆弱性についてシスコが注意喚起、エクスプロイトコードが出回る：CVE-2026-20029

佐々山 Tacos

2026.01.09

Cisco ISEの脆弱性についてシスコが注意喚起、エクスプロイトコードが出回る：CVE-2026-20029

BleepingComputer – January 8, 2026

シスコは1月7日、ネットワークアクセス制御ソリューションCisco Identity Services Engine（ISE）における脆弱性CVE-2026-20029に関するアドバイザリをリリース。PoCエクスプロイトが出回っているとして、修正済みソフトウェアへのアップグレードを呼びかけた。

CVE-2026-20029は、ISEおよびパッシブ ID コネクタ（ISE-PIC）に影響を与える情報開示の脆弱性。Cisco ISEおよびCisco ISE-PICのWebベース管理インターフェースで処理されるXMLが不適切に解析されることに起因する問題で、高い権限を持つリモートの攻撃者が悪意あるファイルをアップロードすることによりこれを悪用した場合、任意のファイルを読み取ることが可能になる恐れがあるとされる。これにより、管理者でさえアクセスできない機微な情報へ攻撃者がアクセスする可能性がある。ただし、攻撃者が有効な管理者認証情報を有していることが、悪用を成功させるための条件になるという。

シスコのPSIRTはCVE-2026-20029が攻撃で悪用されている形跡を観測していないものの、PoCエクスプロイトがネット上に出回っていると注意喚起。修正済みソフトウェアへのアップグレードを「強く推奨」している。

HPE OneViewのRCE脆弱性とMS Officeにおける10年以上前の脆弱性が攻撃で悪用される（CVE-2025-37164、CVE-2009-0556）

SecurityWeek – January 8, 2026

米CISAは1月7日、HPEのITインフラストラクチャ管理ソフトウェアOneViewにおける脆弱性CVE-2025-37164と、Microsoft Office PowerPointの脆弱性CVE-2009-0556をKEVカタログ（悪用が確認済みの脆弱性カタログ）に追加。攻撃での悪用が確認されたとして、連邦政府機関に28日までの対応を命じた。

HPE OneViewの脆弱性CVE-2025-37164（CVSSスコア：10/10）は2025年12月17日に開示された脆弱性で、認証されていないリモートのユーザーによるリモートコード実行を許すものだと説明されている。KEVカタログへの追加により悪用されていることが明らかになったものの、攻撃の詳細などは共有されていない。

一方、CVE-2009-0556は2009年5月に開示されたMicrosoft Office PowerPointのRCE脆弱性。中国国内のウイグル族グループに対するスパイキャンペーンで悪用されていたことが10年以上前に報告されていた。今回CISAは新たにKEVカタログへ同脆弱性を追加したが、どのような攻撃で悪用されているのか等の詳細は明かされていない。