[TLP:CLEAR] Cisco opravuje 8 zraniteľností v rôznych produktoch
Cisco opravuje 8 zraniteľností v rôzných produktoch. Najzávažnejšie z nich nájdete nižšie a zvyšné na [1][2]. Jednotlivé produkty a ich opravené verzie: Cisco Unified Contact Center Express (Unified CCX) [1] - 12.5 SU3 ES07, 15.0 ES01 Cisco Unified Intelligence Center (CUIC) [1] - 12.6(02) ES06 (Dec 2025), 15.0(01) ES202508 Cisco Identity Services Engine (ISE) [2] - 3.2 Patch 8 (Dec 2025), 3.3 Patch 8, 3.4 Patch 4 Cisco ISE Passive Identity Connector (ISE-PIC) [2] - 3.2 Patch 8 (Dec 2025), 3.3 Patch 8, 3.4 Patch 4
Autentizovanému vzdialenému útočníkovi s administrátorskými oprávneniami je umožnené zneužiť nedostatočnú kontrolu vstupov viazanú na konkrétne prvky webového rozhrania v Cisco Unified CCX, nahrať a spustiť škodlivý súbor a tak získať prístup k operačnému systému [1].
Zraniteľnosť sa nachádza v produkte Cisco Unified CCX vo verziách (<12.5 SU3 ES07) OR (>=15.0 AND <15.0 ES01).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
Viac informácií:
- CVE-2025-20375 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-434: Unrestricted Upload of File with Dangerous Type at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 18. 11. 2025.
Autentizovanému vzdialenému útočníkovi s administrátorskými oprávneniami je umožnené zneužiť nedostatočnú kontrolu vstupov viazanú na nahrávanie súborov vo webovom rozhraní Cisco Unified CCX, nahrať a spustiť škodlivý súbor, čo môže viesť k vykonaniu ľubovoľných príkazov a získaniu oprávnení root [1].
Zraniteľnosť sa nachádza v produkte Cisco Unified CCX vo verziách (<12.5 SU3 ES07) OR (>=15.0 AND <15.0 ES01).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
Viac informácií:
- CVE-2025-20376 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-434: Unrestricted Upload of File with Dangerous Type at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 18. 11. 2025.
Autentizovanému vzdialenému útočníkovi s nízkymi oprávneniami je umožnené zneužiť nedostatočné overenie užívateľských vstupov do webového rozhrania Cisco ISE a Cisco ISE-PIC, čo môže viesť k vykonaniu reflektovaného XSS útoku [2].
Zraniteľnosť sa nachádza v produkte Cisco Identity Services Engine vo verziách (<3.2 Patch 8) OR (>=3.3 AND <3.3 Patch 8) OR (>=3.4 AND <3.4 Patch 4).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Viac informácií:
- CVE-2025-20303 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2025-20304 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 18. 11. 2025.
Autentizovanému vzdialenému útočníkovi s nízkou úrovňou oprávnení je v dôsledku nedostatočnej kontroly požiadaviek zasielaných na špecifické endpointy API subsystému v Cisco Unified Intelligence Center (CUIC) umožnené získať citlivé informácie [1].
Zraniteľnosť sa nachádza v produkte Cisco Unified Intelligence Center(CUIC) vo verziách (<12.6 (02) ES06 (Dec 2025)) OR (>=15.0 AND <15.0(01) ES202508).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Viac informácií:
- CVE-2025-20377 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 18. 11. 2025.
Odkazy
Za CESNET-CERTS Henrieta Paločková dňa 21. 11. 2025.
