はじめに
2026 年 4 月 15 日、Cisco は Cisco Identity Services Engine(ISE)に関する 2 件のセキュリティアドバイザリを公開しました。いずれも認証済みのリモート攻撃者がコマンドを実行したり、機密ファイルにアクセスしたりできる可能性があるものです。
特に 1 件目に含まれる CVE-2026-20147 は CVSS スコア 9.9(Critical)と非常に深刻な評価を受けており、悪用に成功した場合は OS レベルでの root 権限取得や、シングルノード構成における DoS(サービス停止)状態を引き起こす可能性があります。
Cisco ISE はネットワークアクセス制御(NAC)の中核を担う製品であり、企業・教育機関・官公庁など幅広い組織で導入されています。影響を受けるバージョンを運用している場合は、修正済みリリースへのアップグレードを検討することが推奨されます。
- 今回公開された 2 件のアドバイザリと 4 つの CVE の概要
- 各脆弱性の CVSS スコア・攻撃条件・影響範囲
- 影響を受けるバージョンと修正済みリリースの一覧
- アップグレード前の準備と実施手順
- 適用後の確認ポイント
脆弱性の概要
2 つのアドバイザリの位置づけ
今回 Cisco が公開したアドバイザリは以下の 2 件です。それぞれ異なる CVE を扱っており、独立した脆弱性として評価されています。
| アドバイザリ ID | タイトル | 含まれる CVE | 深刻度 |
| cisco-sa-ise-rce-4fverepv | Remote Code Execution Vulnerabilities | CVE-2026-20180 / CVE-2026-20186 | Critical(CVSS 9.9) |
| cisco-sa-ise-rce-traversal-8bYndVrZ | Remote Code Execution and Path Traversal Vulnerabilities | CVE-2026-20147 / CVE-2026-20148 | Critical / Medium |
1 件目(cisco-sa-ise-rce-4fverepv)は Cisco 社内のセキュリティチーム(ASIG)が内部テスト中に発見したものです。2 件目(cisco-sa-ise-rce-traversal-8bYndVrZ)は外部研究者の TrendAI Research による報告に基づいており、CVE 番号と CVSS スコアが明示されています。
参考: Cisco Security Advisory(cisco-sa-ise-rce-traversal-8bYndVrZ)
“The vulnerabilities are not dependent on one another. Exploitation of one of the vulnerabilities is not required to exploit another vulnerability.”
(各脆弱性は互いに依存していません。一方の脆弱性を悪用するために、もう一方を悪用する必要はありません。)
各 CVE の詳細
アドバイザリ 1: cisco-sa-ise-rce-4fverepv(複数の RCE 脆弱性)
1 件目のアドバイザリには、ユーザー入力の検証不備を起因とする複数の RCE(リモートコード実行)脆弱性が含まれます。
攻撃に必要な条件
攻撃者は事前に Read Only Admin 以上の認証情報を取得している必要があります。完全な未認証攻撃ではないものの、Read Only Admin は組織内で比較的広く付与されることがある権限であるため、内部不正や認証情報の漏えいが起点となるリスクには留意が必要です。
参考: Cisco Security Advisory(cisco-sa-ise-rce-4fverepv)
“To exploit these vulnerabilities, the attacker must have at least Read Only Admin credentials.”
(これらの脆弱性を悪用するには、攻撃者は少なくとも Read Only Admin の認証情報を持っている必要があります。)
攻撃の流れと影響
細工された HTTP リクエストを送信することで悪用が成立します。悪用に成功した場合、攻撃者は以下の影響を与える可能性があります。
- OS レベルでのユーザー権限でのアクセス取得
- その後の root 権限への権限昇格(Privilege Escalation)
- シングルノード構成の ISE では、ノードが応答不能となる DoS 状態に陥る可能性があり、その間は未認証エンドポイントがネットワークへアクセスできなくなる
回避策(ワークアラウンド)は存在しないため、修正済みリリースへのアップグレードが唯一の対策となります。含まれる CVE と Bug ID は以下のとおりです。
| CVE ID | Bug ID | CWE | CVSS Base Score |
| CVE-2026-20180 | CSCwq21242 | CWE-77(コマンドインジェクション) | 9.9(Critical) |
| CVE-2026-20186 | CSCwq22993 | CWE-22(パストラバーサル) | 9.9(Critical) |
アドバイザリ 2: cisco-sa-ise-rce-traversal-8bYndVrZ(RCE + パストラバーサル)
2 件目のアドバイザリには 2 つの CVE が含まれます。いずれも有効な管理者(Administrator)権限が必要です。
CVE-2026-20147: リモートコード実行(Critical)
| 項目 | 内容 |
| CVE ID | CVE-2026-20147 |
| Bug ID | CSCws52738 |
| 深刻度(SIR) | Critical |
| CVSS Base Score | 9.9 |
| CVSS Vector | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
| 攻撃に必要な権限 | 有効な管理者認証情報 |
| 対象製品 | Cisco ISE・Cisco ISE-PIC |
CVSS ベーススコア 9.9 は、スコープ変更(S:C)・機密性・完全性・可用性のすべてに対して高(H)の影響が評価されており、事実上の最高レベルに近い深刻度です。
参考: Cisco Security Advisory(cisco-sa-ise-rce-traversal-8bYndVrZ)
“A successful exploit could allow the attacker to obtain user-level access to the underlying operating system and then elevate privileges to root.”
(悪用に成功すると、攻撃者は基盤となる OS へのユーザーレベルのアクセスを取得し、その後 root 権限へ昇格できる可能性があります。)
CVE-2026-20148: パストラバーサル(Medium)
| 項目 | 内容 |
| CVE ID | CVE-2026-20148 |
| Bug ID | CSCws52717 |
| 深刻度(SIR) | Medium |
| CVSS Base Score | 4.9 |
| CVSS Vector | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
| 攻撃に必要な権限 | 有効な管理者認証情報(高権限) |
| 対象製品 | Cisco ISE・Cisco ISE-PIC |
CVE-2026-20147 と比較すると CVSS スコアは低めですが、悪用に成功した場合はシステム上の任意のファイルを読み取ることが可能になります。設定ファイルや認証情報ファイルの漏えいにつながる可能性があるため、過小評価は避けることが推奨されます。
参考: Cisco Security Advisory(cisco-sa-ise-rce-traversal-8bYndVrZ)
“A successful exploit could allow the attacker to access sensitive files on the affected system.”
(悪用に成功すると、攻撃者は影響を受けるシステム上の機密ファイルにアクセスできる可能性があります。)
影響を受ける製品とバージョン
今回の 2 件のアドバイザリは、それぞれ対象製品・影響バージョン・修正済みリリースが異なります。自組織で運用している Cisco ISE のバージョンを確認し、該当する修正済みリリースへのアップグレードを検討することが推奨されます。
アドバイザリ 1: cisco-sa-ise-rce-4fverepv(RCE)
対象製品
このアドバイザリが対象とする製品は Cisco ISE のみです。デバイスの構成にかかわらず、対象バージョンを運用しているすべての環境が影響を受けます。
参考: Cisco Security Advisory(cisco-sa-ise-rce-4fverepv)
“These vulnerabilities affect Cisco ISE, regardless of device configuration.”
(これらの脆弱性は、デバイスの構成にかかわらず Cisco ISE に影響を与えます。)
なお、Cisco ISE Passive Identity Connector(ISE-PIC)はこのアドバイザリの影響を受けないことが Cisco により確認されています。
影響バージョンと修正済みリリース
| Cisco ISE リリース | 修正済みの最初のリリース |
| 3.2 より前 | 固定リリースへの移行が必要 |
| 3.2 | 3.2 Patch 8 |
| 3.3 | 3.3 Patch 8 |
| 3.4 | 3.4 Patch 4 |
| 3.5 | 影響なし |
3.2 より前のバージョン(3.0 や 3.1 等)はパッチが提供されないため、修正済みの対象リリースへの移行が必要です。
アドバイザリ 2: cisco-sa-ise-rce-traversal-8bYndVrZ(RCE + パストラバーサル)
対象製品
このアドバイザリは Cisco ISE および Cisco ISE-PIC の両方が対象です。アドバイザリ 1 とは異なり、ISE-PIC も影響を受ける点に注意が必要です。
参考: Cisco Security Advisory(cisco-sa-ise-rce-traversal-8bYndVrZ)
“These vulnerabilities affect Cisco ISE and Cisco ISE-PIC, regardless of device configuration.”
(これらの脆弱性は、デバイスの構成にかかわらず Cisco ISE および Cisco ISE-PIC に影響を与えます。)
影響バージョンと修正済みリリース
| Cisco ISE / ISE-PIC リリース | 修正済みの最初のリリース |
| 3.1 より前 | 固定リリースへの移行が必要 |
| 3.1 | 3.1 Patch 11(2026 年 4 月提供) |
| 3.2 | 3.2 Patch 10(2026 年 4 月提供) |
| 3.3 | 3.3 Patch 11(2026 年 4 月提供) |
| 3.4 | 3.4 Patch 6(2026 年 4 月提供) |
| 3.5 | 3.5 Patch 3 |
3.1 より前のバージョンはパッチが提供されないため、対象リリースへの移行が必要です。また、Cisco ISE-PIC はリリース 3.4 が最終サポートバージョンであり、すでに販売終了(End-of-Sale)となっています。
2 つのアドバイザリの影響範囲まとめ
両アドバイザリを横断して整理すると、以下のようになります。
| バージョン | アドバイザリ 1(RCE) | アドバイザリ 2(RCE + パストラバーサル) |
| 3.1 | 影響あり(移行必要) | 影響あり → 3.1 Patch 11 |
| 3.2 | 影響あり → 3.2 Patch 8 | 影響あり → 3.2 Patch 10 |
| 3.3 | 影響あり → 3.3 Patch 8 | 影響あり → 3.3 Patch 11 |
| 3.4 | 影響あり → 3.4 Patch 4 | 影響あり → 3.4 Patch 6 |
| 3.5 | 影響なし | 影響あり → 3.5 Patch 3 |
| ISE-PIC | 影響なし | 影響あり(最終対応は 3.4) |
同一バージョンに対して 2 つのアドバイザリで異なるパッチレベルが必要な場合があります。たとえば ISE 3.2 では、アドバイザリ 1 に対応するには Patch 8 が、アドバイザリ 2 に対応するには Patch 10 が必要です。両方の脆弱性を解消するには、より新しい Patch 10 への適用が推奨されます。
参考: Cisco Security Advisory(cisco-sa-ise-rce-traversal-8bYndVrZ)
“Cisco strongly recommends that customers upgrade to the fixed software indicated in this advisory.”
(Cisco は、このアドバイザリに記載されている修正済みソフトウェアへのアップグレードを強く推奨しています。)
アップグレード前の準備
パッチ適用はノードの再起動を伴う作業です。作業前に以下の準備を整えることで、万が一の際の復旧をスムーズにしたうえで、ダウンタイムの影響を最小限に抑えることが期待できます。
現在のバージョンとパッチレベルの確認
Primary PAN(Policy Administration Node)の CLI に SSH でログインし、現在の ISE バージョンとパッチ適用状況を確認します。
show version出力例:
Cisco Application Deployment Engine OS Release: 3.3
Cisco Application Deployment Engine OS Version: 3.3.0.8
Cisco ISE Version: 3.3.0.458-Patch8-20250101現在の ISE バージョンを確認した上で、影響バージョンと修正済みリリースの一覧と照合することが推奨されます。
参考: Cisco(Cisco ISE 3.3 Upgrade Guide: Install Latest Patch)https://www.cisco.com/c/en/us/td/docs/security/ise/3-3/upgrade_guide/HTML/b_upgrade_install_patch_3_3.html
PAN 自動フェイルオーバーの無効化
マルチノード構成の場合、パッチ適用中に PAN の自動フェイルオーバーが発生すると作業が中断される可能性があります。作業前に無効化しておくことが推奨されます。
GUI での操作パス:
- Administration > System > Deployment > PAN Failover
Enable PAN Auto Failoverのチェックを外す
参考: Cisco(Cisco ISE 3.3 Upgrade Guide: Install Latest Patch)https://www.cisco.com/c/en/us/td/docs/security/ise/3-3/upgrade_guide/HTML/b_upgrade_install_patch_3_3.html
構成バックアップの取得
パッチ適用前に、設定データ(Configuration)と運用データ(Operational)の両方のバックアップを取得しておくことが強く推奨されます。
GUI からのバックアップ(推奨):
- Administration > System > Backup & Restore
Backup Nowをクリック- バックアップ名・種別(Configuration / Operational)・リポジトリ名・暗号化キーを入力
Start Backupをクリック
CLI からのバックアップ(設定データ): Primary PAN の CLI にログインし、以下のコマンドを実行します。
backup <バックアップ名> repository <リポジトリ名> ise-config encryption-key plain <暗号化キー>実行例:
ise/admin# backup PrePatch-Config repository SFTP-Repo ise-config encryption-key plain MyEncKey123バックアップの進捗はshow backup statusコマンドで確認できます。
ise/admin# show backup status参考: Cisco(Export Configuration and Operation Data Backup from ISE)https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/215355-how-to-take-configuration-and-operation.html
内部 CA ストアのエクスポート
ISE の設定バックアップには内部 CA(Certificate Authority)のデータが含まれません。パッチ適用前に別途エクスポートしておくことが推奨されます。
CLI にて以下のコマンドを実行し、オプション 7(Export Internal CA Store)を選択します。
ise/admin# application configure ise[7] Export Internal CA Storeを選択し、リポジトリ名と暗号化キーを入力してエクスポートします。
参考: Cisco(Cisco Identity Services Engine CLI Reference Guide, Release 3.3)https://www.cisco.com/c/en/us/td/docs/security/ise/3-3/cli_guide/b_ise_CLI_Reference_Guide_33/b_ise_CLIReferenceGuide_33_chapter_01.html
パッチファイルのダウンロード
Cisco Software Download ページから、対象バージョンの修正済みパッチファイルをダウンロードします。ダウンロードには有効な Cisco サービス契約(CCO アカウント)が必要です。
- Cisco Software Download: https://software.cisco.com/download/home
- ファイル名の例(3.3 Patch 11 の場合): ise-patchbundle-3.3.0.XXX-Patch11.SPA.x86_64.tar.gz
パッチ適用手順
Cisco ISE のパッチは常に累積型(cumulative)です。途中のパッチを飛ばして最新パッチを直接適用することが可能です(例: Patch 3 が適用済みでも、Patch 11 を直接適用可能)。また、パッチは Primary PAN から適用を開始し、順次各ノードへ展開されます。
GUI による適用手順(推奨)
GUI からのパッチ適用では、Primary PAN が自動的に最初にパッチを適用し、その後残りのノードへ順次展開します。適用順序は変更できません。
Administration > System > Maintenance > Patch Management へ移動します。
Installをクリックし、ダウンロードしたパッチファイルをローカルブラウザからアップロードします。- Cisco ISE が前提チェック(リポジトリ設定・バンドルの検証・証明書の検証・PAN HA 無効化確認等)を自動実行します。
- チェックが完了したら
Startをクリックし、インストールを開始します。 - 各ノードのインストール状況(Installed / In Progress / Not Installed)は画面上でリアルタイムに確認できます。
参考: Cisco(Cisco ISE 3.3 Upgrade Guide: Install Latest Patch)
“You can install or roll back patches from the Cisco ISE GUI. In the Cisco ISE GUI, click the Menu icon and choose Administration > System > Maintenance > Patch Management window. You can view the status for each node (installed, in progress, or not installed) by selecting a patch and clicking Show Node Status.”
CLI による適用手順(ノード順序を制御したい場合)
CLI からの適用では、ノードへの展開順序を柔軟に制御できます。特定のノードで事前検証を行ってから全体へ展開したい場合に有効です。Primary PAN から先に適用することが推奨されます。
Primary PAN の CLI で以下のコマンドを実行します。
patch install <パッチバンドル名> <リポジトリ名>実行例(3.3 Patch 11 を SFTP リポジトリから適用する場合):
ise/admin# patch install ise-patchbundle-3.3.0.XXX-Patch11.SPA.x86_64.tar.gz SFTP-Repo参考: Cisco(Cisco ISE 3.4 Upgrade Guide: Install Latest Patch)
“Using the CLI: Installing patches from the CLI allows you to control the update order of nodes. It is recommended to install the patch on the Primary PAN first, but the order for other nodes is flexible. You can install patches on multiple nodes simultaneously to expedite the process.”
パッチ適用時の留意点
- パッチ適用後、対象ノードは自動的に再起動されます。再起動完了まで数分かかる場合があります。
- Primary PAN でのインストールが失敗した場合、セカンダリノードへの展開は行われません。
- 既にインストール済みのパッチより古いバージョンへのロールバックはできません(例: Patch 5 が適用済みの場合、Patch 3 には戻せません)。
- マルチノード構成では、全ノードを同一パッチレベルに揃えることが推奨されます。異なるパッチレベルが混在するとデータ交換に影響が出る可能性があります。
適用後の確認
パッチ適用が完了したら、以下の手順で正常に適用されたことを確認します。
パッチバージョンの確認(CLI)
Primary PAN の CLI で以下のコマンドを実行し、パッチが正しく適用されているか確認します。
show version適用後の出力例(3.3 Patch 11 の場合):
Cisco ISE Version: 3.3.0.XXX-Patch11-YYYYMMDDパッチ適用状況の確認(GUI)
GUI からも各ノードのパッチ適用状況を確認できます。 Administration > System > Maintenance > Patch Management に移動し、対象パッチを選択してShow Node Statusをクリックします。全ノードのステータスがInstalledになっていることを確認します。
ISE サービスの正常稼働確認(CLI)
ノード再起動後、ISE の主要プロセスが正常に稼働しているか確認します。
show application status iseDatabase Listener、ISE Indexing Engine、ISE Admin Portal などの主要プロセスが running 状態になっていることを確認します。
認証・ポリシーの動作確認
パッチ適用後は、実際のエンドポイントや検証端末を使って認証が正常に機能していることを確認することが推奨されます。特にシングルノード構成では、パッチ適用中に認証サービスが一時的に停止するため、作業はメンテナンスウィンドウ内で実施することが推奨されます。
参考: Cisco(Cisco ISE 3.3 Upgrade Guide: Install Latest Patch)
“When you install a patch on a Cisco ISE node, the node will reboot after the installation completes. You may need to wait a few minutes before you can log in again. Schedule patch installations during maintenance windows to minimize service disruption.
まとめ
- 2026 年 4 月 15 日、Cisco は Cisco ISE に関する 2 件のセキュリティアドバイザリを公開した。
- 合計 4 つの CVE が含まれ、うち CVSS スコア 9.9(Critical)の RCE 脆弱性が複数存在する。
- 悪用には認証済みの権限(Read Only Admin 以上または管理者権限)が必要だが、成功した場合は root 権限の取得や DoS 状態を引き起こす可能性がある。
- ワークアラウンドは存在しないため、修正済みリリースへのアップグレードが唯一の対策となる。
- ISE-PIC はアドバイザリ 2(cisco-sa-ise-rce-traversal-8bYndVrZ)の影響を受ける点に注意が必要である。
- 同一バージョンで 2 つのアドバイザリに対応するには、より新しいパッチレベルへの適用が推奨される(例: ISE 3.2 は Patch 10 で両方に対応)
- パッチ適用前には構成バックアップ・内部 CA エクスポート・PAN 自動フェイルオーバーの無効化を実施することが推奨される。
- パッチ適用はメンテナンスウィンドウ内での実施が推奨される(シングルノード構成では適用中に認証サービスが一時停止するため)
以上、最後までお読みいただきありがとうございました。
