Informazioni sul CVE-2025-20117
Cisco Application Policy Infrastructure Controller Authenticated Command Injection Vulnerability
CWE ID: CWE-77
Base Score (CVSS): N/A
CVE: CVE-2025-20117
Descrizione: Una vulnerabilità nel CLI di Cisco APIC potrebbe permettere a un attaccante autenticato e locale di eseguire comandi arbitrari come root sulla sottostante sistema operativo di un dispositivo compromesso. Per sfruttare questa vulnerabilità, l’attaccante deve avere credenziali di amministratore valide. Questa vulnerabilità è dovuta a una mancata validazione degli argomenti passati a comandi CLI specifici. Un attaccante potrebbe sfruttare questa vulnerabilità includendo input fabbricati come argomento di un comando CLI compromesso. Un exploit riuscito potrebbe consentire all’attaccante di eseguire comandi arbitrari sul sistema operativo sottostante con i privilegi di root.
Vettore di attacco CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:L/I:H/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Local, Privilegi: High, Interazione utente: None, Confidenzialità: Low, Integrità: High, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | L | Local | L’attaccante deve avere accesso locale al sistema. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | H | High | Richiede privilegi elevati. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
Prodotti interessati
- Cisco – Cisco Application Policy Infrastructure Controller (APIC)
Relazioni con altri prodotti
Produttore:Cisco
Prodotto: Cisco Application Policy Infrastructure Controller (APIC)
Anno: 2025
CWE: CWE-77
CVSS: 0.0