Informazioni sul CVE-2025-20185
Cisco Secure Email and Web Manager, Secure Email Gateway, and Secure Web Appliance Privilege Escalation Vulnerability
CWE ID: CWE-250
Base Score (CVSS): N/A
CVE: CVE-2025-20185
Descrizione: Una vulnerabilità nell’implementazione della funzionalità di accesso remoto di Cisco AsyncOS Software per Cisco Secure Email e Web Manager, Cisco Secure Email Gateway e Cisco Secure Web Appliance potrebbe consentire a un attaccante autenticato e locale di elevare i privilegi a root. L’attaccante deve autenticarsi con credenziali di amministratore valide. Questa vulnerabilità è dovuta a un difetto di progettazione nell’algoritmo di generazione della password per la funzionalità di accesso remoto. Un attaccante potrebbe sfruttare questa vulnerabilità generando una password temporanea per il servizio account. Un exploit riuscito potrebbe consentire all’attaccante di eseguire comandi arbitrari come root e accedere al sistema operativo sottostante. Nota: Il Livello di Impatto della Sicurezza (SIR) per questa vulnerabilità è Medio a causa della portata limitata delle informazioni che un attaccante può accedere.
Vettore di attacco CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Local, Privilegi: High, Interazione utente: None, Confidenzialità: Low, Integrità: Low, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | L | Local | L’attaccante deve avere accesso locale al sistema. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | H | High | Richiede privilegi elevati. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
Prodotti interessati
- Cisco – Cisco Secure Email
- Cisco – Cisco Secure Email and Web Manager
- Cisco – Cisco Secure Web Appliance
Relazioni con altri prodotti
Produttore:Cisco
Prodotto: Cisco Secure Email
Anno: 2025
CWE: CWE-250
CVSS: 0.0
Produttore:Cisco
Prodotto: Cisco Secure Email and Web Manager
Anno: 2025
CWE: CWE-250
CVSS: 0.0
Produttore:Cisco
Prodotto: Cisco Secure Web Appliance
Anno: 2025
CWE: CWE-250
CVSS: 0.0