Informazioni sul CVE-2025-20144
Cisco IOS XR Software Access Control List Bypass Vulnerability
CWE ID: CWE-284
Base Score (CVSS): N/A
CVE: CVE-2025-20144
Descrizione: Una vulnerabilità nel processo di controllo degli accessi binari (ACL) per i pacchetti IPv4 in Cisco IOS XR Software potrebbe consentire a un attaccante non autenticato, remoto, di aggirare una configurazione ACL specificata. Questa vulnerabilità è dovuta a una gestione errata dei pacchetti quando esiste una specifica configurazione dell’ACL binaria. Un attaccante potrebbe sfruttare questa vulnerabilità inviando traffico attraverso il dispositivo compromesso. Un exploit riuscito potrebbe consentire all’attaccante di aggirare una configurazione ACL sul dispositivo compromesso. Per ulteriori informazioni, si veda la sezione di questo avviso. Cisco ha rilasciato aggiornamenti software che affrontano questa vulnerabilità. Esistono soluzioni alternative che affrontano questa vulnerabilità.
Vettore di attacco CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:L/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: None, Integrità: Low, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | H | High | L’attacco richiede condizioni particolari o avanzate. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ncs-hybridacl-crMZFfKQ
- https://blog.apnic.net/2024/09/02/crafting-endless-as-paths-in-bgp/
Prodotti interessati
- Cisco – Cisco IOS XR Software
Relazioni con altri prodotti
Produttore:Cisco
Prodotto: Cisco IOS XR Software
Anno: 2025
CWE: CWE-284
CVSS: 0.0