### Cisco IMC における認証バイパス **Cisco** は、統合管理コントローラー (IMC) に影響を与える重大なセキュリティ欠陥を修正するためのアップデートをリリースしました。**CVE-2026-20093** として特定されたこの脆弱性は、CVSS スコア 9.8 を持ち、その深刻度を示しています。 この脆弱性は、パスワード変更要求の不適切な処理に起因しています。**Cisco** のアドバイザリによると、攻撃者は脆弱なデバイスに細工された HTTP リクエストを送信することで、これを悪用する可能性があります。 攻撃が成功すると、攻撃者は認証をバイパスし、任意のユーザー（管理者を含む）のパスワードを変更し、システムへの不正アクセスを得ることができます。この脆弱性は以下の製品に影響します。 * 5000 シリーズ エンタープライズ ネットワーク コンピューティング システム (ENCS) - 4.15.5 で修正済み * Catalyst 8300 シリーズ エッジ uCPE - 4.18.3 で修正済み * UCS C-Series M5 および M6 ラックサーバー (スタンドアロンモード) - 4.3(2.260007)、4.3(6.260017)、および 6.0(1.250174) で修正済み * UCS E-Series サーバー M3 - 3.2.17 で修正済み * UCS E-Series サーバー M6 - 4.15.3 で修正済み セキュリティ研究者の「jyh」氏がこの脆弱性の発見と報告に貢献しました。影響を受けるシステムのユーザーは、提供されているパッチを適用することを強く推奨します。 ### Smart Software Manager On-Prem におけるリモートコマンド実行 もう一つの重大な脆弱性である **CVE-2026-20160** (CVSS スコア: 9.8) は、**Cisco** Smart Software Manager On-Prem (SSM On-Prem) に影響します。この欠陥により、認証されていないリモート攻撃者が基盤となるオペレーティングシステム上で任意のコマンドを実行できる可能性があります。 この脆弱性は、内部サービスの意図しない公開に起因します。攻撃者は、公開されたサービスの API に細工されたリクエストを送信することで、これを悪用する可能性があります。 攻撃が成功すると、攻撃者は基盤となるオペレーティングシステム上で root レベルの権限を取得できます。この脆弱性に対するパッチは、**Cisco** SSM On-Prem バージョン 9-202601 で利用可能です。 **Cisco** は、この脆弱性が **Cisco** テクニカルアシスタンスセンター (TAC) のサポートケース解決中に内部で発見されたと述べています。 ### 緩和策 現時点では、どちらの脆弱性も実際に悪用されたという報告はありませんが、最近の **Cisco** 製品におけるセキュリティ上の欠陥は、脅威アクターによって積極的に悪用されています。この状況を踏まえ、**Cisco** は、回避策がない状況で最適な保護を確保するために、顧客に対し、修正済みバージョンへのアップデートをできるだけ早く行うよう強く求めています。