シスコとF5が深刻度の高い脆弱性を複数件修正（CVE-2026-20119、CVE-2026-22548他）

yab

2026.02.06

シスコとF5が深刻度の高い脆弱性を複数件修正（CVE-2026-20119、CVE-2026-22548他）

SecurityWeek – February 5, 2026

シスコとF5が自社製品全体にわたる複数の脆弱性に対するパッチをリリースした。

シスコが対処した脆弱性は以下の5件。

CVE-2026-20119：TelePresence Collaboration Endpoint（CE）ソフトウェアおよびRoomOS ソフトウェア
CVE-2026-20098：Meeting Management
CVE-2026-20056：Secure Web Appliance
CVE-2026-20111：Prime Infrastructure
CVE-2026-20123：Evolved Programmable Network Manager（EPNM）のAsyncOS

このうち、深刻度の高いCVE-2026-20119はTelePresence CEソフトウェアおよびRoomOS ソフトウェアに影響を与える。認証やユーザー介入なしにリモートから悪用可能で脆弱なアプライアンスに細工された会議招待状を送信することでDoS状態を引き起こすことができるという。TelePresence CEソフトウェアおよびRoomOSソフトウェアバージョン11.27.5.0および11.32.3.0で問題が修正された。

CVE-2026-20098も高深刻度の脆弱性で、Web管理インターフェースの不適切なユーザー入力検証によってMeeting Managementに影響が及ぶ。ビデオオペレーター以上の権限を持つ攻撃者は、rootアカウントによって処理されるシステムファイルを含む任意のファイルをアップロードし、root権限でコマンドを実行できるようになるとみられる。Meeting Management バージョン3.12.1 MRで解決された。

シスコによると、これらの脆弱性が実際に悪用された事例は確認されていないとのこと。詳細はアドバイザリから確認できる。

F5は四半期セキュリティ通知で脆弱性5件の修正を伝えた。

CVE-2026-22548：BIG-IP Advanced WAF/ASM
CVE-2026-1642：NGINX OSSおよびNGINX Plusインスタンス
CVE-2026-22549：BIG-IP Container Ingress Services for Kubernetes and OpenShift
CVE-2026-20730：BIG-IP APMおよびAPM Clients
CVE-2026-20732：BIG-IPの全モジュール

このうち、CVE-2026-22548はBIG-IPに関する脆弱性で、CVSS 4.0の評価基準では深刻度が高いものに分類される。BIG-IP Advanced WAFまたはASMセキュリティポリシーが仮想サーバー上で構成されている場合、特定の条件下でbdプロセスの再起動が発生し、DoS状態を引き起こす可能性がある模様。

CVE-2026-1642も同様にCVSS 4.0の基準では深刻度が高く、上流のTLSサーバーにプロキシするように設定されたNGINX OSSおよびNGINX Plusインスタンスに影響を与え、中間者（MitM）攻撃によってクライアントに送信可能なレスポンスを挿入できるとみられる。

修正バージョンを含む詳細は四半期セキュリティ通知から確認できる。