CVE-2025-20393

Опубликовано: 17 дек. 2025

Источник: nvd

CVSS3: 10

EPSS Низкий

Описание

A vulnerability in the Spam Quarantine feature of Cisco AsyncOS Software for Cisco Secure Email Gateway and Cisco Secure Email and Web Manager could allow an unauthenticated, remote attacker to execute arbitrary system commands on an affected device with root privileges.

This vulnerability is due to insufficient validation of HTTP requests by the Spam Quarantine feature. An attacker could exploit this vulnerability by sending a crafted HTTP request to the affected device. A successful exploit could allow the attacker to execute arbitrary commands on the underlying operating system with root privileges.

Ссылки

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4
Vendor Advisory
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-20393
US Government Resource

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:o:cisco:asyncos:*:*:*:*:*:*:*:*

Версия до 15.0.5-016 (исключая)

cpe:2.3:o:cisco:asyncos:*:*:*:*:*:*:*:*

Версия от 15.5 (включая) до 15.5.4-012 (исключая)

cpe:2.3:o:cisco:asyncos:*:*:*:*:*:*:*:*

Версия от 16.0 (включая) до 16.0.4-016 (исключая)

Одно из

cpe:2.3:a:cisco:secure_email_gateway_virtual_appliance_c100v:-:*:*:*:*:*:*:*

cpe:2.3:a:cisco:secure_email_gateway_virtual_appliance_c300v:-:*:*:*:*:*:*:*

cpe:2.3:a:cisco:secure_email_gateway_virtual_appliance_c600v:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:secure_email_gateway_c195:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:secure_email_gateway_c395:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:secure_email_gateway_c695:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

Одно из

cpe:2.3:o:cisco:asyncos:*:*:*:*:*:*:*:*

Версия до 15.0.2-007 (исключая)

cpe:2.3:o:cisco:asyncos:*:*:*:*:*:*:*:*

Версия от 15.5 (включая) до 15.5.4-007 (исключая)

cpe:2.3:o:cisco:asyncos:*:*:*:*:*:*:*:*

Версия от 16.0 (включая) до 16.0.4-010 (исключая)

Одно из

cpe:2.3:a:cisco:secure_email_and_web_manager_virtual_appliance_m100v:-:*:*:*:*:*:*:*

cpe:2.3:a:cisco:secure_email_and_web_manager_virtual_appliance_m300v:-:*:*:*:*:*:*:*

cpe:2.3:a:cisco:secure_email_and_web_manager_virtual_appliance_m600v:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:secure_email_and_web_manager_m170:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:secure_email_and_web_manager_m190:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:secure_email_and_web_manager_m195:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:secure_email_and_web_manager_m380:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:secure_email_and_web_manager_m390:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:secure_email_and_web_manager_m390x:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:secure_email_and_web_manager_m395:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:secure_email_and_web_manager_m680:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:secure_email_and_web_manager_m690:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:secure_email_and_web_manager_m690x:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:secure_email_and_web_manager_m695:-:*:*:*:*:*:*:*

EPSS

Процентиль: 89%

0.04641

Низкий

10 Critical

CVSS3

Дефекты

CWE-20

Связанные уязвимости

GHSA-mrgj-cg36-fgq8

CVSS3: 10

github

около 2 месяцев назад

Cisco is aware of a potential vulnerability.  Cisco is currently investigating and will update these details as appropriate as more information becomes available.

BDU:2025-16120

CVSS3: 10

fstec

около 2 месяцев назад

Уязвимость функции Spam Quarantine операционной системы Cisco AsyncOS средств защиты Cisco Secure Email and Web Manager, Cisco Secure Email Gateway, позволяющая нарушителю выполнить произвольный код с правами root

EPSS

Процентиль: 89%

0.04641

Низкий

10 Critical

CVSS3

Дефекты

CWE-20