CVE-2025-20337

július 29. 11:12

Cisco Identity Services Engine Injection sérülékenysége
Angol cím: Cisco Identity Services Engine Injection vulnerability

Publikálás dátuma: 2025.07.16.
Utolsó módosítás dátuma: 2025.07.28.

A sérülékenység aktívan kihasználtként volt megjelölve az alábbi dátumtartományra vonatkozóan: 2025.07.28. – 2025.08.18.

Leírás

A program nem, vagy helytelenül semlegesíti azokat az elemeket a bemenetből, melyek módosíthatják hogyan parszolja, vagy interpretálja a parancsot, vagy az adatstruktúrát amikor azt a következő komponensnek adja át.

Leírás forrása: CWE-74

Elemzés leírás

Eredeti nyelven:

A vulnerability in a specific API of Cisco ISE and Cisco ISE-PIC could allow an unauthenticated, remote attacker to execute arbitrary code on the underlying operating system as root. The attacker does not require any valid credentials to exploit this vulnerability. This vulnerability is due to insufficient validation of user-supplied input. An attacker could exploit this vulnerability by submitting a crafted API request. A successful exploit could allow the attacker to obtain root privileges on an affected device.

Elemzés leírás forrása: CVE-2025-20337

Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 10.0 (Kritikus)
Vector: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Impact Score: 6.0
Exploitability Score: 3.9

Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Changed
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High