悪用する攻撃も確認 ～ Cisco Secure Email Gateway に任意のコマンド実行の脆弱性

　独立行政法人情報処理推進機構（IPA）は1月19日、Cisco Secure Email Gatewayの脆弱性について発表した。影響を受けるシステムは以下の通り。

Cisco Email Security Gateway Cisco AsyncOS 14.2 以前
Cisco Email Security Gateway Cisco AsyncOS 15.0
Cisco Email Security Gateway Cisco AsyncOS 15.5
Cisco Email Security Gateway Cisco AsyncOS 16
Cisco Secure Email and Web Manager Cisco AsyncOS 15.0 以前
Cisco Secure Email and Web Manager Cisco AsyncOS 15.5
Cisco Secure Email and Web Manager Cisco AsyncOS 16.0

　シスコシステムズ合同会社のCisco Secure Email GatewayおよびSecure Email and Web Managerには、任意のコマンド実行の脆弱性（CVE-2025-20393）が存在し、認証されていないリモートの攻撃者によって、任意のコマンドをルート権限で実行される可能性がある。

　シスコシステムズでは、本脆弱性を悪用する攻撃を確認しており、今後被害が拡大するおそれがあるため、IPAでは開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。なお、シスコシステムズでは本脆弱性を修正した下記のバージョンをリリースしている。

Cisco Email Security Gateway Cisco AsyncOS 15.0.5-016 あるいはそれ以降
Cisco Email Security Gateway Cisco AsyncOS 15.5.4-012 あるいはそれ以降
Cisco Email Security Gateway Cisco AsyncOS 16.0.4-016 あるいはそれ以降
Cisco Secure Email and Web Manager Cisco AsyncOS 15.0.2-007 あるいはそれ以降
Cisco Secure Email and Web Manager Cisco AsyncOS 15.5.4-007 あるいはそれ以降
Cisco Secure Email and Web Manager Cisco AsyncOS 16.0.4-010 あるいはそれ以降