Source: https://www.securityweek.com/high-severity-vulnerabilities-patched-by-cisco-atlassian/
🛡 概要
CiscoとAtlassianは、製品における複数の高重要度脆弱性の修正パッチを発表しました。これらの脆弱性の多くは、サービス拒否(DoS)状態を引き起こす可能性があります。Ciscoは、Merakiデバイス向けのファームウェア更新をリリースし、AnyConnect VPNサーバーの再起動を引き起こす脆弱性CVE-2025-20271(CVSSスコア8.6)を修正しました。この脆弱性はリモートから悪用される恐れがあります。
🔍 技術詳細
CVE-2025-20271は、SSL VPNセッションが確立される際の変数初期化エラーに起因しています。この脆弱性が悪用されると、新しいSSL VPN接続が確立できなくなり、結果としてCisco AnyConnect VPNサービスが全ての正当なユーザーに対して利用不可となります。Ciscoは、この脆弱性が実際に悪用された事例は確認していないものの、パッチを早急に適用することを推奨しています。また、AtlassianはBamboo、Bitbucket、Confluenceなどの製品に対して、いくつかの脆弱性に対するパッチを発表しました。具体的には、CVE-2025-22228やCVE-2025-24970などの脆弱性が含まれています。
⚠ 影響
これらの脆弱性は、特に企業環境において深刻な影響を及ぼす可能性があります。Ciscoの脆弱性は、Meraki MXおよびZデバイスに影響を与え、VPN接続が利用できなくなることで業務に支障をきたす恐れがあります。また、Atlassianの脆弱性も同様に、サービスの中断やデータの漏洩を引き起こす可能性があるため、迅速な対策が求められます。特に、CVE-2025-24970はNettyフレームワークにおけるDoSの脆弱性であり、攻撃者が悪意のあるリクエストを送信することで、サービスを停止させることが可能です。
🛠 対策
ユーザーは、CiscoおよびAtlassianが提供する修正パッチを直ちに適用することが推奨されます。CiscoのMerakiデバイスに関しては、最新のファームウェアバージョン18.107.13、18.211.6、19.1.8にアップデートする必要があります。また、Atlassianの各製品も最新のソフトウェア更新を適用することで、脆弱性を解消できます。これにより、サービスの安全性を高め、潜在的な攻撃からシステムを守ることが可能になります。早急な対応が、企業のセキュリティを維持するために不可欠です。
