Informazioni sul CVE-2025-20118
Cisco Application Policy Infrastructure Controller Authenticated Command Injection Due to Sensitive Disclosure Vulnerability
CWE ID: CWE-212
Base Score (CVSS): N/A
CVE: CVE-2025-20118
Descrizione: Una vulnerabilità nell’implementazione dei processi interni del sistema Cisco APIC potrebbe permettere a un attaccante autenticato e locale di accedere a informazioni sensibili su un dispositivo compromesso. Per sfruttare questa vulnerabilità, l’attaccante deve avere credenziali di amministratore valide. Questa vulnerabilità è dovuta a una mancanza di mascheramento delle informazioni sensibili che vengono visualizzate tramite comandi CLI del sistema. Un attaccante potrebbe sfruttare questa vulnerabilità utilizzando tecniche di ricognizione al dispositivo CLI. Un exploit riuscito potrebbe consentire all’attaccante di accedere a informazioni sensibili su un dispositivo compromesso che potrebbe essere utilizzato per ulteriori attacchi.
Vettore di attacco CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Local, Privilegi: High, Interazione utente: None, Confidenzialità: High, Integrità: None, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | L | Local | L’attaccante deve avere accesso locale al sistema. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | H | High | Richiede privilegi elevati. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
Prodotti interessati
- Cisco – Cisco Application Policy Infrastructure Controller (APIC)
Relazioni con altri prodotti
Produttore:Cisco
Prodotto: Cisco Application Policy Infrastructure Controller (APIC)
Anno: 2025
CWE: CWE-212
CVSS: 0.0