Cisco Catalyst SD-WAN Manager に権限付きAPIの不適切利用の脆弱性(CVE-2026-20122)— CISAが緊急指令ED 26-03を発令
Cisco Catalyst SD-WAN Manager(旧vManage)に、APIインターフェースでのファイル処理の不備に起因する脆弱性が見つかりました。CISAは緊急指令ED 26-03を出し、極めて短い是正期限を設定しています。
脆弱性の基本情報
- CVE番号CVE-2026-20122
- CVSS基本値5.4 MEDIUM
- CVSSベクタCVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
- 対象(ベンダー/製品)Cisco Catalyst SD-WAN Manger
- CWECWE-648
- 悪用状況CISA KEV 掲載(実際の悪用を確認)
- 是正期限2026-04-23(米連邦民生機関・BOD 22-01)
要点
- 対象は Cisco Catalyst SD-WAN Manager(旧vManage)。多数拠点のネットワークを一元管理する司令塔的な製品。
- 脆弱性は権限付きAPIの不適切利用。悪意あるファイルのアップロードにより任意ファイルの上書きとvmanageユーザー権限の取得につながりうる。
- NVD公式CVSSは5.4(中)。一方でCISAはKEVに追加し緊急指令ED 26-03を発令。
- KEV追加は2026年4月20日、是正期限は2026年4月23日と極めて短い。
- ED 26-03 と『Hunt & Hardening Guidance for Cisco SD-WAN』に沿った評価・緩和、BOD 22-01対応、緩和不可なら使用中止が求められている。
SD-WAN Manager は、社内に点在する多数の拠点ネットワークの設定や状態を一つの画面から束ねて管理する「司令塔」にあたる製品です。ここでいうSD-WAN(ソフトウェアで制御する広域ネットワーク)の管理基盤が掌握されると、影響が個々の機器にとどまらず全社のネットワークに及びうる点が、この種の管理製品に共通する重みです。本件(CVE-2026-20122)は、APIインターフェース(プログラム同士がやり取りする窓口)でのファイルの扱いが適切でないことに起因し、攻撃者がローカルのファイルシステムに悪意あるファイルをアップロードして任意のファイルを上書きし、vmanageユーザーの権限を得る可能性があるものとして記録されています。
NVD公式のCVSS(脆弱性の深刻度を数値化した指標)は5.4(中)です。一方でCISA(米国のサイバーセキュリティ・社会基盤安全保障庁)は、これを実際に悪用が確認された脆弱性として扱い、緊急指令ED 26-03を発令しました。KEV追加は2026年4月20日、是正期限は2026年4月23日と極めて短く設定されています。CISAは、ED 26-03 と『Hunt & Hardening Guidance for Cisco SD-WAN』に沿った露出評価と緩和、拘束的運用指令BOD 22-01への対応、そして緩和が不可能な場合の使用中止を求めています。
この一件は、スコアが「中」であっても実際に悪用されれば最優先で対応する、というKEVの考え方を端的に示す例といえます。数値上の深刻度だけでなく、悪用の有無と管理基盤が握られた場合の波及範囲の大きさが、緊急指令と短い期限という形で反映されています。
なぜ重要か
SD-WAN Manager は拠点網を束ねる管理基盤のため、掌握された場合の影響は個別機器にとどまらず全社ネットワークに及びうる範囲です。CVSSは中(5.4)ですが、CISAは実際の悪用を踏まえ緊急指令ED 26-03を発令し、KEV追加(2026年4月20日)から是正期限(2026年4月23日)までを極めて短く設定しています。数値上の深刻度だけで優先度を判断せず、悪用状況と波及範囲を併せて見る重要性を示す事例です。
よくある質問(FAQ)
SD-WAN Manager が掌握されると、なぜ影響が大きいのですか。
CISAはどのような対応を求めていますか。
出典(一次情報)
本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。
- CISA KEV Catalog(悪用確認済み一覧)
- NVD(CVE詳細・CVSS)
- ベンダー/参考アドバイザリ
- ベンダー/参考アドバイザリ
- This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。