[TLP:CLEAR] Cisco opravuje 6 zranitelností v různých produktech
Cisco opravuje 6 zranitelností v různých produktech [1][2][3][4][5][6]. Produkty a jejich opravené verze: Cisco Identity Services Engine (ISE) - 3.4 Patch 2 [1], 3.3 Patch 6 [1], 3.2 P8 (Nov 2025) [2], 3.1 P10 [3] Cisco ISE Passive Identity Connector (ISE-PIC) - 3.4 Patch 2 [1], 3.3 Patch 6 [1], 3.2 P7 [3], 3.1 P10 [3] ClamAV [4] - 1.4.3, 1.0.9 Secure Endpoint Connector (Linux, Mac) [5] - 1.26.1 Secure Endpoint Connector (Windows) [5] - 8.4.5, 7.5.21 Secure Endpoint Private Cloud [5] - 4.2.2 Cisco Meraki MX Firmware [6] - 19.1.8, 18.211.6, 18.107.13
Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečné validaci uživatelského vstupu v API Cisco ISE a Cisco ISE-PIC zasláním speciálně vytvořeného API dotazu umožněno spustit kód jako root na operačním systému postiženého zařízení [1].
Zranitelnost se nachází v produktech:
- Cisco Identity Services Engine ve verzích (>=3.3 AND <3.3 Patch 6) OR (>=3.4 AND <3.4 Patch 2)
- Cisco Identity Services Engine Passive Identity Connector ve verzích (>=3.3 AND <3.3 Patch 6) OR (>=3.4 AND <3.4 Patch 2)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2025-20281 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 25. 6. 2025.
Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečné kontrole v interním API Cisco ISE a Cisco ISE-PIC umožněno nahrávat libovolné soubory do chráněných umístění systému postiženého zařízení a spustit kód jako root [1].
Zranitelnost se nachází v produktech:
- Cisco Identity Services Engine ve verzích >=3.4 AND <3.4 Patch 2
- Cisco Identity Services Engine Passive Identity Connector ve verzích >=3.4 AND <3.4 Patch 2
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2025-20282 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 25. 6. 2025.
Neautentizovanému vzdálenému útočníkovi je kvůli nesprávné alokaci paměťového bufferu při zpracování PDF souborů v ClamAV umožněno vykonat útok DoS nebo potenciálně spustit kód [4][7]. Tato zranitelnost se týká pouze konfigurací, kde je limit MaxFileSize nastaven na hodnotu ≥ 1024 MB a zároveň limit MaxScanSize na hodnotu ≥ 1025 MB [4].
Zranitelnost se nachází v produktu ClamAV ve verzích (>=1.0.0 AND <1.0.9) OR (>=1.2.0 AND <=1.2.3) OR (>=1.3.0 AND <=1.3.2) OR (>=1.4.0 AND <=1.4.2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-20260 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-122: Heap-based Buffer Overflow at cwe.mitre.org
Zranitelnost byla veřejně oznámena 18. 6. 2025.
Neautentizovanému vzdálenému útočníkovi je zasíláním upravených HTTPS dotazů kvůli chybě v komponentě Cisco AnyConnect VPN serveru na zařízeních Cisco Meraki MX a Cisco Meraki Z Series Teleworker Gateway umožněno vykonat útok DoS na službu Cisco AnyConnect. Zranitelná jsou pouze zařízení s povolenou službou AnyConnect a současně aktivovanou autentizací klienta pomocí certifikátu. Seznam konkrétních zranitelných zařízení a další informace naleznete na [6].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
Více informací:
- CVE-2025-20271 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-457: Use of Uninitialized Variable at cwe.mitre.org
Zranitelnost byla veřejně oznámena 18. 6. 2025.
Autentizovanému vzdálenému útočníkovi je ve webovém rozhraní pro správu Cisco ISE umožněno obejít některé autorizační mechanismy a modifikovat specifická systémová nastavení, což může mimo jiné vést k restartu systému. Zranitelnost postihuje pouze nasazení s aktivní integrací SAML SSO přes externího IdP [2].
Zranitelnost se nachází v produktu Cisco Identity Services Engine ve verzích (<=3.1) OR (>=3.1 AND <=3.1P10) OR (>=3.2 AND <3.2P8) OR (>=3.3 AND <3.3P5) OR (>=3.4 AND <3.4P2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:L
Více informací:
- CVE-2025-20264 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-285: Improper Authorization at cwe.mitre.org
Zranitelnost byla veřejně oznámena 25. 6. 2025.
Neautentizovanému vzdálenému útočníkovi je kvůli čtení mimo alokovaný rozsah paměťového bufferu při zpracování speciálně vytvořeného UDF souboru v ClamAV umožněno neoprávněně získat potenciálně citlivé informace nebo vykonat útok DoS [4][5]. Zranitelnost postihuje také Cisco Secure Endpoint Connector (Linux, macOS, Windows) a Secure Endpoint Private Cloud, informace ke konkrétním zranitelným verzím naleznete na [5].
Zranitelnost se nachází v produktu ClamAV ve verzích >=1.2.0 AND <1.4.3.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Více informací:
- CVE-2025-20234 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-125: Out-of-bounds Read at cwe.mitre.org
Zranitelnost byla veřejně oznámena 18. 6. 2025.
Odkazy
- [1] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6
- [2] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-auth-bypass-mVfKVQAU
- [3] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-file-upload-P4M8vwXY
- [4] https://www.openwall.com/lists/oss-security/2025/06/20/2
- [5] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-clamav-udf-hmwd9nDy
- [6] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-meraki-mx-vpn-dos-sM5GCfm7
- [7] https://www.cve.org/CVERecord?id=CVE-2025-20260
Za CESNET-CERTS Michaela Ručková dne 26. 6. 2025.