2025-2637: Cisco IOS, Cisco IOS XE: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit Administratorrechten
Historie:
- Version 1 (2025-09-25 15:11)
- Neues Advisory
- Version 2 (2025-09-30 11:17)
- Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2025-20352 in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Hardware
Netzwerk
Cisco
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode mit 'root'-Rechten auszuführen, einen Cross-Site-Scripting (XSS)-Angriff und Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um beliebigen Programmcode auszuführen, beliebigen Programmcode mit 'root'-Rechten auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.
Der Hersteller informiert, dass die Schwachstelle CVE-2025-20352 bereits aktiv ausgenutzt wird. Diese erlaubt einem Angreifer mit niedrigen Privilegien das Durchführen eines Denial-of-Service (DoS)-Angriffs. Ein Angreifer mit Administrator-Privilegien kann jedoch das betroffene System vollständig kompromittieren.
Cisco veröffentlicht die halbjährliche Cisco Event Response ERP-75296 für Cisco IOS und IOS XE und führt insgesamt 14 Schwachstellen auf. Sicherheitsupdates können mit Hilfe des 'Cisco IOS Software Checker' (siehe Referenzen) identifiziert werden, wenn diese nicht im Abschnitt 'Fixed Software' der einzelnen Sicherheitshinweise des Herstellers direkt genannt werden. Zudem stehen für mehrere Schwachstellen Workarounds bereit, welche im Abschnitt 'Workarounds' in den jeweiligen Sicherheitshinweisen zu finden sind.
Schwachstellen:
CVE-2025-20149
Schwachstelle in Cisco IOS und Cisco IOS XE ermöglicht Denial-of-Service-AngriffCVE-2025-20160
Schwachstelle in Cisco IOS und Cisco IOS XE ermöglicht u. a. Umgehen von SicherheitsvorkehrungenCVE-2025-20240
Schwachstelle in Cisco IOS XE ermöglicht Cross-Site-Scripting-AngriffCVE-2025-20293
Schwachstelle in Cisco IOS XE ermöglicht Ausspähen von InformationenCVE-2025-20311
Schwachstelle in Cisco IOS XE ermöglicht Denial-of-Service-AngriffCVE-2025-20312
Schwachstelle in Cisco IOS XE ermöglicht Denial-of-Service-AngriffCVE-2025-20313 CVE-2025-20314
Schwachstellen in Cisco IOS XE ermöglichen Ausführen beliebigen ProgrammcodesCVE-2025-20315
Schwachstelle in Cisco IOS XE ermöglicht Denial-of-Service-AngriffCVE-2025-20316
Schwachstelle in Cisco IOS XE ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2025-20327
Schwachstelle in Cisco IOS ermöglicht Denial-of-Service-AngriffCVE-2025-20334
Schwachstelle in Cisco IOS XE ermöglicht Ausführen beliebigen Programmcodes mit AdministratorrechtenCVE-2025-20338
Schwachstelle in Cisco IOS XE ermöglicht Ausführen beliebigen Programmcodes mit AdministratorrechtenCVE-2025-20352
Schwachstelle in Cisco IOS und Cisco IOS XE ermöglicht Ausführen beliebigen Programmcodes mit Administratorrechten
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.