Zpětná vazba k reportu

Autentizovanému vzdálenému útočníkovi s rolí Observer nebo vyšší je kvůli nedostatečné validaci uživatelského vstupu v Cisco Catalyst Center Virtual Appliance umožněno pomocí speciálně vytvořeného HTTP požadavku neoprávněně modifikovat postižený systém, vytvářet nové uživatele nebo zvýšit svá oprávnění na roli Administrator [1].

Zranitelnost se nachází v produktu Cisco Catalyst Center ve verzích >=2.3.7.3-VA AND <2.3.7.10-VA.

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Více informací:

• CVE-2025-20341 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-284: Improper Access Control at cwe.mitre.org

Zranitelnost byla veřejně oznámena 13. 11. 2025.

Autentizovanému vzdálenému útočníkovi s rolí Observer nebo vyšší je kvůli nedostatečné validaci uživatelského vstupu v REST API Cisco Catalyst Center umožněno zasíláním speciálně vytvořených API požadavků spouštět v rámci omezeného kontejneru příkazy s právy root [2].

Zranitelnost se nachází v produktu Cisco Catalyst Center ve verzích <2.3.7.10.

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Více informací:

• CVE-2025-20349 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 13. 11. 2025.

Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečné validaci uživatelského vstupu v Cisco Catalyst Center umožněno vykonat útok XSS [3].

Zranitelnost se nachází v produktu Cisco Catalyst Center ve verzích <2.3.7.10.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Více informací:

• CVE-2025-20353 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 13. 11. 2025.