検出

Cisco Secure Firewall Management Center Software SQL Injection Vulnerabilities(cisco-sa-fmc-sql-injection-2qH6CcJd)

medium Nessus プラグイン ID 311448

Language:

概要

リモートデバイスに、ベンダーが提供したセキュリティパッチがありません。

説明

自己申告のバージョンによると、Cisco Secure Firewall Management Center(FMC)は複数の脆弱性の影響を受けています。

 - Cisco Secure Firewall Management Center(FMC)ソフトウェアのウェブベースの管理インターフェースに複数の脆弱性が存在することで、認証済みのリモート攻撃者が影響を受けたシステムに対してSQLインジェクション攻撃を行う可能性があります。これらの脆弱性は、ウェブベースの管理インターフェースがユーザー提供の入力を十分に検証していないために存在します。攻撃者はこれらの脆弱性を悪用し、アプリケーションに認証し、作成されたSQLクエリを影響を受けたシステムに送信することができました。成功したエクスプロイトは、攻撃者がデータベースから任意のデータを入手し、基盤となるオペレーティングシステム上で任意のコマンドを実行し、権限をrootに昇格させることが可能になります。(CVE-2026-20001、 CVE-2026-20002、 CVE-2026-20003)

詳細については、付属の Cisco BID および Cisco Security Advisory を参照してください。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

CiscoのバグIDであるCSCwo65318、CSCwp22451、CSCwq01517で参照されている該当する固定バージョンへのアップグレード

参考資料

http://www.nessus.org/u?bdf818b7

http://www.nessus.org/u?73afe95c

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwo65318

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwp22451

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwq01517

プラグインの詳細

深刻度: Medium

ID: 311448

ファイル名: cisco-sa-fmc-sql-injection-2qH6CcJd.nasl

バージョン: 1.1

タイプ: Local

ファミリー: CISCO

公開日: 2026/5/1

更新日: 2026/5/1

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.2

CVSS v2

リスクファクター: Medium

基本値: 6.1

ベクトル: CVSS2#AV:N/AC:L/Au:M/C:C/I:N/A:N

CVSS スコアのソース: CVE-2026-20003

CVSS v3

リスクファクター: Medium

基本値: 4.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

脆弱性情報

CPE: cpe:/a:cisco:firepower_management_center

必要な KB アイテム: Host/Cisco/firepower_mc/version

パッチ公開日: 2026/3/4

脆弱性公開日: 2026/3/4

参照情報

CVE: CVE-2026-20001, CVE-2026-20002, CVE-2026-20003

CISCO-SA: cisco-sa-fmc-sql-injection-2qH6CcJd

IAVA: 2026-A-0201

CISCO-BUG-ID: CSCwo65318, CSCwp22451, CSCwq01517