Zpětná vazba k reportu

Neautentizovanému útočníkovi sousedícímu na L2 se zranitelným zařízením je kvůli nedostatečné validaci vstupu v implementaci směrovacího protokolu Intermediate System-to-Intermediate System (IS-IS) v softwaru Cisco NX-OS pro přepínače Cisco Nexus 3000 a 9000 Series pomocí speciálně upraveného IS-IS paketu umožněno vykonat útok DoS [2].

CVSS: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H

Více informací:

• CVE-2025-20241 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-20: Improper Input Validation at cwe.mitre.org

Zranitelnost byla veřejně oznámena 27. 8. 2025.

Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečnému ověřování koncových bodů Virtual Keyboard Video Monitor (vKVM) v Cisco Integrated Management Controller (IMC) a Cisco UCS Manager umožněno pomocí podvrženého odkazu přesměrovat uživatele na škodlivou webovou stránku a potenciálně získat jeho přihlašovací údaje [3].

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N

Více informací:

• CVE-2025-20317 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-601: URL Redirection to Untrusted Site ('Open Redirect') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 27. 8. 2025.

Autentizovanému vzdálenému útočníkovi s oprávněním administrátora je kvůli nedostatečné validaci vstupu ve webovém rozhraní a CLI Cisco UCS Manager Software pro zařízení UCS 6300/6400/6500 Series Fabric Interconnects a UCS X-Series Direct Fabric Interconnect 9108 100G umožněno vykonávat příkazy v operačním systému a zvýšit svá oprávnění na root [4].

Zranitelnost se nachází v produktu Cisco UCS Manager Software ve verzích (<4.2(3p)) OR (>=4.3(6c) AND <4.3(6c)).

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

Více informací:

• CVE-2025-20294 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 27. 8. 2025.

Autentizovanému vzdálenému útočníkovi s přihlašovacími údaji Administrator je kvůli nedostatečné validaci ve funkcionalitě pro obnovu záloh v Cisco Nexus Dashboard umožněno provést útok typu path traversal a získat oprávnění root v shellu postiženého zařízení [5].

Zranitelnost se nachází v produktu Cisco Nexus Dashboard ve verzích <4.1(1g).

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

Více informací:

• CVE-2025-20344 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 27. 8. 2025.

Autentizovanému vzdálenému útočníkovi je kvůli nedostatečné validaci vstupu ve webovém rozhraní Cisco Evolved Programmable Network Manager (EPNM) a Cisco Prime Infrastructure umožněno pomocí speciálně vytvořených HTTP požadavků získat libovolné soubory ze souborového systému postiženého zařízení a potenciálně tak i citlivé informace [6].

Zranitelnost se nachází v produktech:

• Cisco Evolved Programmable Network Manager ve verzích <8.1.1
• Cisco Prime Infrastructure ve verzích <3.10.6 Security Update 02

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Více informací:

• CVE-2025-20269 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-73: External Control of File Name or Path at cwe.mitre.org

Zranitelnost byla veřejně oznámena 20. 8. 2025.