Informazioni sul CVE-2025-20142
Cisco IOS XR Software for ASR 9000 Series Routers L2VPN Denial of Service Vulnerability
CWE ID: CWE-20
Base Score (CVSS): N/A
CVE: CVE-2025-20142
Descrizione: Una vulnerabilità nel modulo di controllo access control (ACL) per la funzionalità di qualità di servizio (QoS) di Cisco IOS XR Software per router Cisco ASR 9000 Series Aggregation Services Router, ASR 9902 Compact High-Performance Router, e ASR 9903 Compact High-Performance Router, permette a un attaccante non autenticato di causare un reset del cardine, risultando in una condizione di interruzione del servizio (DoS). Questa vulnerabilità è dovuta al malfunzionamento errato dei pacchetti IPv4 malformati ricevuti sui cardine dove l’interfaccia ha sia un ACL o una policy QoS applicati. Un attaccante potrebbe sfruttare questa vulnerabilità inviando pacchetti IPv4 falsificati attraverso un dispositivo compromesso. Un exploit riuscito potrebbe consentire all’attaccante di causare errori nei processori di rete, portando a un reset o al shutdown del processo di rete. Il traffico in quella linea card verrebbe perso mentre la linea card si riavvia. Nota: Questa vulnerabilità è stata principalmente osservata in ambienti VPN Layer 2 (L2VPN) dove un ACL o una policy QoS sono stati applicati all’interfaccia virtuale del bridge. Anche le configurazioni Layer 3, dove l’interfaccia ha sia un ACL o una policy QoS applicati, sono interessate, ma la vulnerabilità non è stata osservata in nessuna configurazione.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: None, Integrità: None, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipv4uni-LfM3cfBu
- https://blog.apnic.net/2024/09/02/crafting-endless-as-paths-in-bgp/
Prodotti interessati
- Cisco – Cisco IOS XR Software
Relazioni con altri prodotti
Produttore:Cisco
Prodotto: Cisco IOS XR Software
Anno: 2025
CWE: CWE-20
CVSS: 0.0