シスコ、悪用試行が観測されたRCE脆弱性を修正（CVE-2026-20045）

nosa

2026.01.22

シスコ、悪用試行が観測されたRCE脆弱性を修正（CVE-2026-20045）

Help Net Security – January 21, 2026

シスコは21日、ユニファイドコミュニケーション製品の一部に存在する重大なリモートコード実行（RCE）の脆弱性を修正したと発表した。すでに悪用の試みも観測されているという。

匿名の外部研究者によって報告されたこの脆弱性は、CVE-2026-20045として追跡されているもの。HTTPリクエストのユーザー入力において検証が不適切なことに起因するコードインジェクションの欠陥と説明されている。

悪用に成功した場合、攻撃者は基盤となるオペレーティングシステムへユーザーレベルのアクセス権を取得し、その権限をrootに昇格させることができるという。シスコの製品セキュリティインシデント対応チーム（PSIRT）は、実環境でこの脆弱性を悪用しようとする試みを認識していると警告した。

CVE-2026-20045の影響を受ける製品は以下のとおり。

Cisco Unified Communications Manager（CSCwr21851）
Cisco Unified Communications Manager Session Management Edition（CSCwr21851）
Cisco Unified Communications Manager IM & Presence Service（CSCwr29216）
Cisco Unity Connection（CSCwr29208）
Cisco Webex Calling Dedicated Instance（CSCwr21851）

回避策はなく、修正されたソフトウェアリリースへのアップグレード、あるいはパッチファイルの適用が強く推奨されている。

GitLab、深刻度が高い複数の脆弱性について警告（CVE-2026-0723、CVE-2025-13927他）

BleepingComputer – January 21, 2026

GitLabは、同社製ソフトウェア開発プラットフォームのコミュニティ版とエンタープライズ版に存在する複数の脆弱性を修正した。

今回修正された脆弱性は、CVE-2026-0723、CVE-2025-13927、CVE-2025-13928、CVE-2025-13335、CVE-2026-1102の5件。いずれもGitLab Community Edition（CE）およびEnterprise Edition（EE）に影響を与えるもので、深刻度はCVE-2026-0723、CVE-2025-13927、CVE-2025-13928が高く、CVE-2025-13335とCVE-2026-1102は中程度と評価されている。

CVE-2026-0723はGitLabの認証サービスにおける未チェックの戻り値の欠陥に起因し、標的のアカウントIDを知っている攻撃者に二要素認証を回避される恐れがあるという。一方、CVE-2025-13927とCVE-2025-13928はサービス拒否（DoS）状態を引き起こすバグとされ、前者は未認証の攻撃者が不正な認証データを含む細工されたリクエストを送信することで、後者はAPIエンドポイントにおける不適切な認証検証を悪用することでサービスを混乱に陥れることを可能にする。

残り2件のバグもDoS状態を引き起こす脆弱性と説明され、CVE-2025-13335はサイクル検出をバイパスする不正なWikiドキュメントを設定することで、CVE-2026-1102は不正なSSH認証リクエストを繰り返し送信することでサービスを機能停止に追い込むことができる。

GitLabはこれらの欠陥に対処するため、CEおよびEE向けにバージョン18.8.2、18.7.2、18.6.4をリリースし、可能な限り速やかに最新バージョンへアップグレードするよう呼びかけた。なお、GitLab Dedicatedのユーザーは特別に対応する必要がないようだ。