JVNDB-2026-011810

JVNDB-2026-011810
シスコシステムズのAdaptive Security Appliance (ASA) Software等の複数製品におけるクロスサイトスクリプティングの脆弱性
概要
Cisco Secure Firewall ASAソフトウェアおよびCisco Secure Firewall Threat Defense（FTD）ソフトウェアのSAML 2.0シングルサインオン（SSO）機能に脆弱性が存在し、認証されていないリモート攻撃者がSAML機能に対してクロスサイトスクリプティング（XSS）攻撃を実行し、ブラウザ上の機密情報にアクセスできる可能性があります。この脆弱性は複数のHTTPパラメータの入力検証が不十分であることに起因します。攻撃者はユーザーに悪意のあるリンクにアクセスさせることで、この脆弱性を悪用できます。成功した攻撃により、影響を受けるデバイスを通じてリフレクトされたXSS攻撃を実行することが可能となります。
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 6.1 (警告) [その他] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし
影響を受けるシステム

シスコシステムズ Cisco Firepower Threat Defense ソフトウェア 7.0.0 以上 7.0.9 未満 Cisco Firepower Threat Defense ソフトウェア 7.1.0 以上 7.2.11 未満 Cisco Firepower Threat Defense ソフトウェア 7.4.0 以上 7.4.3 未満 Cisco Firepower Threat Defense ソフトウェア 7.6.0 以上 10.0.0 未満 Adaptive Security Appliance (ASA) Software 9.16.1 以上 9.16.4.89 未満 Adaptive Security Appliance (ASA) Software 9.17.1 以上 9.18.4.71 未満 Adaptive Security Appliance (ASA) Software 9.20.1 以上 9.20.4.19 未満 Adaptive Security Appliance (ASA) Software 9.22.1.1 以上 9.22.2.32 未満 Adaptive Security Appliance (ASA) Software 9.23.1 以上 9.23.1.26 未満
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。
想定される影響
当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
対策
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
シスコシステムズ Cisco Security Advisory : Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software SAML Reflected Cross-Site Scripting Vulnerability
CWEによる脆弱性タイプ一覧 CWEとは?
クロスサイトスクリプティング(CWE-79) [その他]
共通脆弱性識別子(CVE) CVEとは?
CVE-2026-20102
参考情報
National Vulnerability Database (NVD) : CVE-2026-20102
更新履歴
[2026年04月20日] 掲載


公表日	2026/03/04
登録日	2026/04/20
最終更新日	2026/04/20

シスコシステムズのAdaptive Security Appliance (ASA) Software等の複数製品におけるクロスサイトスクリプティングの脆弱性