CVE-2025-20184

Опубликовано: 05 фев. 2025

Источник: nvd

CVSS3: 6.5

CVSS3: 7.2

EPSS Низкий

Описание

This vulnerability is due to insufficient validation of XML configuration files by an affected device. An attacker could exploit this vulnerability by uploading a crafted XML configuration file. A successful exploit could allow the attacker to inject commands to the underlying operating system with root privileges.

Ссылки

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-esa-sma-wsa-multi-yKUJhS34
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:o:cisco:asyncos:13.0.0-392:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:13.0.5-007:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:13.5.1-277:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:13.5.4-038:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:14.0.0-698:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:14.2.0-620:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:14.2.1-020:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:14.3.0-032:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:15.0.0-104:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:15.0.1-030:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:15.0.3-002:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:15.5.0-048:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:15.5.1-055:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:15.5.2-018:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:15.5.3-022:*:*:*:*:*:*:*

Одно из

cpe:2.3:a:cisco:secure_email_gateway_virtual_appliance_c100v:-:*:*:*:*:*:*:*

cpe:2.3:a:cisco:secure_email_gateway_virtual_appliance_c300v:-:*:*:*:*:*:*:*

cpe:2.3:a:cisco:secure_email_gateway_virtual_appliance_c600v:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:secure_email_gateway_c195:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:secure_email_gateway_c395:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:secure_email_gateway_c695:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

Одно из

cpe:2.3:o:cisco:asyncos:11.8.0-414:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:11.8.0-429:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:11.8.0-453:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:11.8.1-023:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:11.8.3-018:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:11.8.3-021:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:11.8.4-004:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:12.0.1-268:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:12.0.1-334:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:12.0.2-004:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:12.0.2-012:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:12.0.3-005:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:12.0.3-007:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:12.0.4-002:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:12.0.5-011:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:12.5.1-011:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:12.5.1-043:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:12.5.2-007:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:12.5.2-011:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:12.5.3-002:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:12.5.4-005:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:12.5.4-011:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:12.5.5-004:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:12.5.5-005:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:12.5.5-008:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:12.5.6-008:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:14.0.1-014:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:14.0.1-040:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:14.0.1-053:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:14.0.1-503:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:14.0.2-012:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:14.0.3-014:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:14.0.4-005:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:14.0.5-007:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:14.1.0-032:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:14.1.0-041:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:14.1.0-047:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:14.5.0-498:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:14.5.0-537:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:14.5.0-673:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:14.5.1-008:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:14.5.1-016:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:14.5.1-510:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:14.5.1-607:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:14.5.2-011:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:14.5.3-033:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:15.0.0-322:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:15.0.0-355:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:15.0.1-004:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:15.1.0-287:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:15.2.0-116:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:15.2.0-164:*:*:*:*:*:*:*

cpe:2.3:o:cisco:asyncos:15.2.1-011:*:*:*:*:*:*:*

Одно из

cpe:2.3:a:cisco:secure_web_appliance_virtual_s1000v:-:*:*:*:*:*:*:*

cpe:2.3:a:cisco:secure_web_appliance_virtual_s100v:-:*:*:*:*:*:*:*

cpe:2.3:a:cisco:secure_web_appliance_virtual_s300v:-:*:*:*:*:*:*:*

cpe:2.3:a:cisco:secure_web_appliance_virtual_s600v:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:secure_web_appliance_s196:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:secure_web_appliance_s396:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:secure_web_appliance_s696:-:*:*:*:*:*:*:*

EPSS

Процентиль: 42%

0.00204

Низкий

6.5 Medium

CVSS3

7.2 High

CVSS3

Дефекты

CWE-20

CWE-77

Связанные уязвимости

GHSA-g9mx-x5c2-8c9j

CVSS3: 6.5

github

около 1 года назад

A vulnerability in the web-based management interface of Cisco AsyncOS Software for Cisco Secure Email Gateway and Cisco Secure Web Appliance could allow an authenticated, remote attacker to perform command injection attacks against an affected device. The attacker must authenticate with valid administrator credentials. This vulnerability is due to insufficient validation of XML configuration files by an affected device. An attacker could exploit this vulnerability by uploading a crafted XML configuration file. A successful exploit could allow the attacker to inject commands to the underlying operating system with root privileges.

BDU:2025-02202

CVSS3: 6.5

fstec

около 1 года назад

Уязвимость веб-интерфейса управления операционной системы Cisco AsyncOS, позволяющая нарушителю повысить свои привилегии и выполнить произвольные команды

BDU:2025-01863

CVSS3: 6.5

fstec

около 1 года назад

EPSS

Процентиль: 42%

0.00204

Низкий

6.5 Medium

CVSS3

7.2 High

CVSS3

Дефекты

CWE-20

CWE-77