Cisco Unified CMの脆弱性CVE-2026-20230、攻撃で悪用されるように

Cisco Unified CMの脆弱性CVE-2026-20230、攻撃で悪用されるように

BleepingComputer – June 23, 2026

Cisco Unified Communications Managerサーバーにおける重大な脆弱性CVE-2026-20230が、攻撃で悪用されるようになっているという。脅威インテリジェンス企業Defusedが警告した。

CVE-2026-20230は、6月3日に修正版アップデートがリリースされたサーバーサイドリクエストフォージェリの脆弱性。Cisco Unified Communications Manager（Unified CM）およびCisco Unified Communications Manager Session Management Edition（Unified CM SME）が影響を受ける。認証されていないリモートの攻撃者は細工されたHTTPリクエストを標的デバイスに送付することでこの脆弱性を悪用でき、悪用が成功した場合には基盤となるOSへのファイル書き込みが可能になるとされている。このファイルはその後、rootへの昇格に使用される恐れがある。

シスコは6月3日のアドバイザリにおいて、PoCエクスプロイトコードが出回っていることを認識していると伝えたものの、CVE-2026-20230の悪用事例については認識していないと述べていた。

その後6月23日、Defusedは同脆弱性が攻撃で悪用されるようになっているとX上で警告。週末にかけて悪用を観測したと述べた上で、これらの攻撃が単一のIPアドレスから発信されていて、攻撃者は適切に構成されたfile://ペイロードを使用してデバイス上にファイルを作成していることを伝えた。CVE-2026-20230はWebシェルの展開やroot権限獲得のために悪用され得る脆弱性だが、Defusedが観測したPoCは、「/tmp/cve-2026-20230-test.txt」というテキストファイルの書き込みを試みることによって脆弱なデバイスを特定する設計になっているものとみられている。

悪用事例の存在が明らかになったのち、SSD Secureが同脆弱性に関する技術的詳細のまとめ記事を公開してPoCエクスプロイトも共有。同社によれば、Webダイヤラーコンポーネントによるユーザー指定のURLの処理方法を悪用することで、認証されていない攻撃者はfile:// URIを使用してアプリケーションにOSへの任意ファイルの書き込みを強制させることができるという。ファイルパスおよびディスクに書き込まれるコンテンツを制御することにより、攻撃者はCVE-2026-20230を悪用してリモートコード実行を達成できる可能性があり、最終的に脆弱なデバイス上でroot権限を取得できるようになるとされる。悪用を実現するにはまず標的システムのホスト名を入手する必要があるものの、SSD Secureはこの情報の取得方法も示している。

Defusedによって観測されている悪用活動は今のところ偵察を目的にしていると思われるものの、SSD Secureにより技術的詳細が共有されていることから、さらに多くの脅威アクターがUnified CMサーバーを標的にし始める可能性が高いとのこと。

AIエージェント向け偽スキルがセキュリティスキャンを通過し26,000のエージェントに到達：セキュリティ企業が実験結果を報告

The Hacker News – Jun 23, 2026

セキュリティ企業AIRが悪意ある偽のAIエージェントスキルを作成し、スキルマーケットプレイスとInstagram広告を通じてこのスキルを宣伝したところ、およそ26,000のAIエージェントがこの偽スキルをインストールしたという。

AIRはこの実験のため、「brand-landingpage」と名付けた偽のスキルを作成。宣伝文ではGoogleのデザインツールStitchを使ってランディングページを構築するスキルと説明されているが、実際にはユーザーのEメールアドレスを収集するという無害なペイロードとして設計されていた。

また、スキルを信頼できるものに見せかけるため、AIRは以下2つの戦略を実施したという。

• GitHubスターの獲得：スター数が約36,000、スキル数が156あるスキルマーケットプレイスのリポジトリに対してプルリクエストを送信し、数日後にそのプルリクエストがマージされた際にAIRのスキルがこのスター数を受け継げるようにした。
• Instagramでの宣伝：マーケター、営業担当者、デザイナーをターゲットにしたInstagram広告を掲載

brand-landingpageには独自のセットアップインストラクションが搭載されておらず、AIエージェントに対し、外部リンク（stitch-design.ai）上の文書に従って「Stitch SDK」をインストールするよう指示。stitch-design.aiはAIRが制御するドメインで、Googleの本来のドメイン（stitch.withgoogle.com）とは異なるものの、このリンクはまずStitchの正規文書に飛ぶためセキュリティスキャナーはこのスキルを安全とみなす。しかし、AIRはこのスキルが広くインストールされたのち、リンクの背後のページをスワップ。エージェントに対して悪意あるスクリプトをダウンロード・実行するよう指示するページへと入れ替えたという。

セキュリティスキャナーを回避することによって、このスキルはコーポレートアカウント上のエージェントを含むおよそ26,000のエージェントに到達したとされる。なおAIRが実施したデモでは、スキルがAIRへ送り返したユーザーのアドレスの件数によって影響を受けた組織の数がカウントされている。

この実験結果の要点は、人々がスキルを信頼する根拠としているセキュリティスキャナーやGitHubのスター数、オープンソースでの評判といった指標では、悪意あるスキルを見破ることができていなかったことが示された点。この問題は過去にも指摘されており、Trail of BitsはClawHubエージェントの悪性スキル検知ツールやシスコのスキャナーなどを回避することに成功している。Trail of Bitsの結論は、こうしたスキャナーが固定されたパッケージをチェックする一方で、攻撃者側ではスキャナーを通過するまでペイロードを微調整し続けることが可能だというもの。同じ仕組みは実際の攻撃キャンペーンでも使われており、「提出するスキル自体はクリーンな状態を保ちつつ、ペイロードはエージェントがインストール時にのみ取得するサイト上でホストする」という手法が用いられているという。

組織にとっては、スキルを「テキスト」ではなく「ソフトウェア」として扱うことが重要とされる。単にスキル内に何が含まれているかだけを見るのではなく、スキルが何を指し示しているかを精査する必要がある。また、インストール時のスキャン結果がクリーンであっても、そのスキルが他者が編集可能なリンクを呼び出している場合、そのクリーンな状態は維持されるとは限らない。このため、新たなスキルに関しては自身が管理する単一のソースを経由させて導入し、何か変更があった際には再確認を行うことが推奨される。

加えて、バージョンを固定する、エージェントには最小権限の原則を適用する、エージェントが取得する外部の命令はすべてそのエージェントのアクセス権限で実行されるとみなす、といった慣行も有効とされる。

なお、AIRの研究結果や26,000という数字は同社が独自に公表しているものであり、第三者により裏付けられているわけではないため影響範囲の規模については懐疑的に受け止めておいても良さそうだとThe Hacker News紙は指摘。一方で同紙は、今回提示されたスキルスキャナーの問題は現実であると強調している。