Cisco opravuje 4 zranitelnosti ve svých produktech

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] Cisco opravuje 4 zranitelnosti ve svých produktech

Cisco opravuje 4 zranitelnosti ve svých produktech, z toho jednu kritickou. Seznam zranitelných produktů a dostupné opravy naleznete v odkazech uvedených u jednotlivých zranitelností [1][2][3][4].

Multiple Cisco Products - RCE (CVE-2025-32433) CVSS 10.0 (Critical)

Neautentizovanému vzdálenému útočníkovi je kvůli chybě při zpracování SSH zpráv serveru Erlang/OTP během fáze autentizace umožněno vzdálené spuštění kódu na postiženém zařízení [1].

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Více informací:

CVE-2025-32433 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-306: Missing Authentication for Critical Function at cwe.mitre.org

Zranitelnost byla veřejně oznámena 22. 4. 2025.

Cisco Webex App - RCE (CVE-2025-20236) CVSS 8.8 (High)

Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečnému ověřování vstupů při zpracování odkazů na schůzky v aplikaci Cisco Webex App umožněno přimět uživatele ke stažení libovolných souborů a následnému spuštění libovolného kódu s jeho oprávněními [2].

Zranitelnost se nachází v produktu Cisco Webex App ve verzích (=44.6) OR (=44.7).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Více informací:

CVE-2025-20236 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-829: Inclusion of Functionality from Untrusted Control Sphere at cwe.mitre.org

Zranitelnost byla veřejně oznámena 16. 4. 2025.

Cisco Secure Network Analytics - privilege escalation (CVE-2025-20178) CVSS 6.0 (Medium)

Autentizovanému vzdálenému útočníkovi s administrátorskými přihlašovacími údaji je kvůli nedostatečné kontrole integrity záloh umožněno spustit libovolné příkazy jako root v systému Cisco Security Network Analytics prostřednictvím obnovení zálohovacího souboru [3].

Zranitelnost se nachází v produktu Cisco Secure Network Analytics ve verzích (=7.5.0) OR (=7.5.1) OR (=7.5.2).

CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

Více informací:

CVE-2025-20178 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-347: Improper Verification of Cryptographic Signature at cwe.mitre.org

Zranitelnost byla veřejně oznámena 16. 4. 2025.

Cisco Nexus Dashboard - LDAP username enumeration (CVE-2025-20150) CVSS 5.3 (Medium)

Neautentizovanému vzdálenému útočníkovi je v důsledku nesprávného zpracování LDAP autentizačních požadavků umožněno prostřednictvím zasílání speciálně upravených požadavků zjišťovat platné LDAP uživatelské účty v systému Cisco Nexus Dashboard [4].

Zranitelnost se nachází v produktu Cisco Nexus Dashboard ve verzích (<=3.1) OR (=3.2).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Více informací:

CVE-2025-20150 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-209: Generation of Error Message Containing Sensitive Information at cwe.mitre.org

Zranitelnost byla veřejně oznámena 16. 4. 2025.

Odkazy

Za CESNET-CERTS Michaela Jarošová dne 5. 5. 2025.

Zpětná vazba k reportu

[TLP:CLEAR] Cisco opravuje 4 zranitelnosti ve svých produktech

Multiple Cisco Products - RCE (CVE-2025-32433) CVSS 10.0 (Critical)

Cisco Webex App - RCE (CVE-2025-20236) CVSS 8.8 (High)

Cisco Secure Network Analytics - privilege escalation (CVE-2025-20178) CVSS 6.0 (Medium)

Cisco Nexus Dashboard - LDAP username enumeration (CVE-2025-20150) CVSS 5.3 (Medium)

Odkazy