[TLP:CLEAR] Cisco opravuje 7 zranitelností
Cisco opravuje 7 zranitelností ve svých produktech. Nejzávažnější z nich jsou uvedeny níže, zbylé naleznete na [1][2][3][4]. Produkty a jejich opravené verze: Cisco SIP Software - 3.3(1), 11.0(6)SR7, 14.4(1) [1] Cisco TelePresence CE a RoomOS - 11.32.2.1 [4] Dostupnost opravy pro produkty Cisco IOS XE Software [2], Cisco Secure Firewall ASA, Secure FMC a Secure FTD Software [3] je možné ověřit pomocí nástroje Cisco Software Checker [5].
Neautentizovanému vzdálenému útočníkovi je kvůli přetečení vyrovnávací paměti při zpracování HTTP paketů v produktech Cisco Desk Phone řady 9800, Cisco IP Phone řady 7800 a 8800 a Cisco Video Phone 8875 s nainstalovaným Cisco SIP Software umožněno vykonat DoS útok. Pro zneužití musí být telefon registrován v Cisco Unified Communications Manager a mít povolený přístup k webovému rozhraní [1].
Zranitelnost se nachází v produktu Cisco SIP Software ve verzích (<=2.3(1)SR1) OR (>=3.0 AND <3.3(1)) OR (<11.0) OR (>=11.0 AND <11.0(6)SR7) OR (<14.3) OR (>=14.3 AND <14.3(1)SR2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2025-20350 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-121: Stack-based Buffer Overflow at cwe.mitre.org
Zranitelnost byla veřejně oznámena 15. 10. 2025.
Autentizovanému lokálnímu útočníkovi s oprávněními úrovně 15 nebo neautentizovanému útočníkovi s fyzickým přístupem k postiženému zařízení je kvůli nedostatečnému ověřování softwarových balíčků v produktu Cisco IOS XE umožněno spustit kód [2].
Zranitelnost se nachází v produktu Cisco IOS XE.
CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H/E:X/RL:X/RC:X
Více informací:
- CVE-2025-20313 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2025-20314 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-232: Improper Handling of Undefined Values at cwe.mitre.org
- CWE-35: Path Traversal: '.../...//' at cwe.mitre.org
Zranitelnost byla veřejně oznámena 15. 10. 2025.
Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečné validaci uživatelského vstupu v produktech Cisco Desk Phone řady 9800, Cisco IP Phone řady 7800 a 8800 a Cisco Video Phone 8875 s nainstalovaným Cisco SIP Software umožněno vykonat XSS útok. Pro zneužití musí být telefon registrován v Cisco Unified Communications Manager a mít povolený přístup k webovému rozhraní [1].
Zranitelnost se nachází v produktu Cisco SIP Software ve verzích (>=3.0 AND <3.3(1)) OR (<11.0) OR (>=11.0 AND <11.0(6)SR7) OR (<14.0) OR (>=14.3 AND <14.4(1)).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Více informací:
- CVE-2025-20351 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 15. 10. 2025.
Odkazy
- [1] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-phone-dos-FPyjLV7A
- [2] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-secboot-UqFD8AvC
- [3] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snort3-mime-vulns-tTL8PgVH
- [4] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-roomos-inf-disc-qGgsbxAm
- [5] https://sec.cloudapps.cisco.com/security/center/softwarechecker.x
Za CESNET-CERTS Michaela Jarošová dne 20. 10. 2025.
