[TLP:CLEAR] Cisco opravuje 5 zranitelností
Cisco opravuje 5 zranitelností v různých produktech. Produkty a jejich opravené verze: Cisco Cyber Vision Center - 5.3 [1] Cisco Unified Communications Manager - 15SU3 [2] Cisco Unified Communications Manager Session Management Edition - 15SU3 [2] Dostupnost opravy pro produkty Cisco IOS a IOS XE Software je možné ověřit pomocí nástroje Cisco Software Checker [3].
Autentizovanému vzdálenému útočníkovi je kvůli zranitelnosti typu stack overflow v SNMP subsystému softwaru Cisco IOS a Cisco IOS XE umožněno vykonat DoS útok [4].
Zranitelnost se nachází v produktech:
- Cisco IOS
- Cisco IOS XE
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H/E:X/RL:X/RC:X
Více informací:
- CVE-2025-20352 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-121: Stack-based Buffer Overflow at cwe.mitre.org
Zranitelnost byla veřejně oznámena 30. 9. 2025.
Neautentizovanému útočníkovi v lokální síti je v softwaru Cisco IOS XE pro přepínače řady Catalyst 9000 skrze speciálně upravené ethernetové rámce umožněno vykonat DoS útok [5].
Zranitelnost se nachází v produktu Cisco IOS XE.
CVSS: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H/E:X/RL:X/RC:X
Více informací:
- CVE-2025-20311 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-19: Data Processing Errors at cwe.mitre.org
Zranitelnost byla veřejně oznámena 30. 9. 2025.
Autentizovanému vzdálenému útočníkovi je v produktu Cisco Cyber Vision Center kvůli nedostatečné validaci uživatelského vstupu ve webovém rozhraní umožněno vykonat XSS útok. Pro zneužití zranitelnosti je vyžadován administrátorský přístup buď ke stránce Sensor Explorer pro CVE-2025-20356 nebo ke stránce Reports pro CVE-2025-20357 [1].
Zranitelnost se nachází v produktu Cisco Cyber Vision Center ve verzích >5.0 AND <=5.2.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N/E:X/RL:X/RC:X
Více informací:
- CVE-2025-20356 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2025-20357 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 1. 10. 2025.
Autentizovanému vzdálenému útočníkovi s platnými administrátorskými údaji je kvůli nedostatečné validaci uživatelského vstupu ve webovém rozhraní produktů Cisco Unified Communications Manager a Unified Communications Manager Session Management Edition umožněno vykonat XSS útok [2].
Zranitelnost se nachází v produktech:
- Cisco Unified Communications Manager ve verzích >=12.5 AND <15SU3
- Cisco Unified Communications Manager Session Management Edition ve verzích >=12.5 AND <15SU3
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N/E:X/RL:X/RC:X
Více informací:
- CVE-2025-20361 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 1. 10. 2025.
Odkazy
- [1] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cv-xss-rwRAKAJ9
- [2] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-stored-xss-Fnj66YLy
- [3] https://sec.cloudapps.cisco.com/security/center/softwarechecker.x
- [4] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snmp-x4LPhte
- [5] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cat9k-PtmD7bgy
Za CESNET-CERTS Michaela Jarošová dne 2. 10. 2025.
