2025-2349: Cisco Integrated Management Controller (IMC) Software: Zwei Schwachstellen ermöglichen u. a. das Darstellen falscher Informationen

Historie:

Version 1 (2025-08-28 12:15)

Neues Advisory

Betroffene Software

Netzwerk

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um einen Cross-Site-Scripting (XSS)-Angriff durchzuführen und falsche Informationen darzustellen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Die Schwachstellen betreffen den Cisco Integrated Management Controller (IMC) der Catalyst 8300 Series Edge uCPE Plattformen sowie der Cisco UCS B-Series, UCS C-Series, UCS E-Series und UCS X-Series Server. Cisco-Appliances, die auf einer vorkonfigurierten Version eines Cisco UCS C-Series-Servers basieren, sind ebenfalls von den Sicherheitslücken betroffen, wenn sie einen Zugriff auf die Benutzerschnittstelle des Cisco IMC ermöglichen.

Für Catalyst 8300 Series Edge uCPE steht die Version 4.18.1 der Cisco Enterprise NFV Infrastructure Software (NFVIS) bereit, welche auch Cisco IMC während des Firmware-Upgrades automatisch aktualisiert. Die Schwachstellen werden in der UCS Manager Software der Versionen 4.2(3p) und 4.3(6a) behoben. Für Server der UCS B-Series und X-Series im UCS Manager Mode stehen die Cisco UCS Server Software Releases 4.2(3o) und 4.3(5c) als Sicherheitsupdates bereit. Für UCS B-Series Server im Intersight Managed Mode sind die Cisco Intersight Server Firmware Releases 4.2(3l) und 5.3(0.250001) verfügbar. UCS X-Series Server im Intersight Managed Mode erhalten über die Cisco Intersight Server Firmware Releases 5.0(4i) und 5.3(0.250001) das Sicherheitsupdate. Für Server der UCS C-Series im Standalone Mode oder Intersight Managed Mode existiert die Cisco UCS Server Software in Version 4.2(3o) und 4.3(5.250001) zur Behebung der Schwachstellen und im UCS Manager Mode werden die Versionen 4.2(3o) oder 4.3(5c) als Sicherheitsupdates benötigt. Für UCS E-Series M6 Server steht die Version 4.15.2 der UCS Server Software bereit. Für verschiedene Cisco-Appliances, die auf einer vorkonfigurierten Version eines Cisco UCS C-Series-Servers basieren, stehen verschiedene Versionen des Cisco IMC als Sicherheitsupdates bereit: 4.3(5.250001), 4.3(5.250030), 4.3(5.250033) und 4.3(6.250053). Die genauen Details für die Aktualisierung dieser können sie der Tabelle im Hersteller-Advisory entnehmen.

Schwachstellen:

CVE-2025-20317

Schwachstelle in Cisco Integrated Management Controller (IMC) Software ermöglicht Darstellen falscher Informationen

CVE-2025-20342

Schwachstelle in Cisco Integrated Management Controller (IMC) Software ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.