Cisco ha pubblicato un advisory dettagliato su nuove vulnerabilità critiche in IOS XE Software, che espongono a rischi di bypass autenticazione, denial of service (DoS) e injection di comandi. Le falle colpiscono una vasta gamma di prodotti, tra cui switch Catalyst, controller wireless e soluzioni SD-WAN. Le valutazioni di severità raggiungono punteggi fino a 8.8 CVSS, con impatti su integrità, disponibilità e sicurezza dei sistemi. Alcune vulnerabilità non hanno workaround disponibili, rendendo gli aggiornamenti e le patch forniti da Cisco un passaggio urgente e imprescindibile per la mitigazione dei rischi.
Cosa leggere
Vulnerabilità DoS in IOS XE
Diversi CVE documentano scenari di denial of service. Tra i più critici emerge CVE-2025-20327, che colpisce il Device Manager degli switch Ethernet industriali: un attacco remoto tramite URL invalidi può bloccare il sistema con severità 7.7 CVSS. Un’altra vulnerabilità, CVE-2025-20149, interessa la CLI di IOS e IOS XE con possibilità di crash da input non controllati, valutata 6.5 CVSS. Sui Catalyst 9000, CVE-2025-20311 consente DoS da traffico adiacente, mentre CVE-2025-20312 e CVE-2025-20315 riguardano rispettivamente SNMP e NBAR, con severità 7.7 e 8.6 CVSS. Ancora più pericolosa risulta CVE-2025-20352, che combina DoS e possibilità di remote code execution via SNMP, con valutazione 7.7 CVSS. Cisco raccomanda patch tempestive e il disabilitazione dei servizi non essenziali, oltre al monitoraggio dei log per rilevare eventuali tentativi di sfruttamento.
Vulnerabilità bypass in IOS XE
Le falle di bypass in IOS XE permettono di aggirare sistemi di autenticazione e controlli di accesso. CVE-2025-20160 rappresenta la criticità maggiore con severità 8.1 CVSS, poiché consente di eludere l’autenticazione TACACS+ sia in IOS che in IOS XE, aprendo la strada ad accessi non autorizzati. CVE-2025-20313 e CVE-2025-20314 impattano il secure boot, consentendo di caricare codice non firmato durante l’avvio del sistema (CVSS 6.7). Altri scenari di bypass includono CVE-2025-20316, che interessa le ACL dei Catalyst 9500X e 9600X, e CVE-2025-20339, che colpisce le configurazioni predefinite delle ACL in ambienti SD-WAN vEdge. Particolarmente insidiosa è anche CVE-2025-20293, che permette accessi non autenticati ai servizi di certificazione nei Catalyst 9800 Cloud. Cisco fornisce workaround in attesa delle patch, invitando a verificare le configurazioni e a monitorare attentamente i log di autenticazione.
Vulnerabilità injection in IOS XE
Le vulnerabilità di injection rappresentano uno degli aspetti più gravi dell’advisory. CVE-2025-20334 raggiunge 8.8 CVSS e permette injection di comandi nell’HTTP API di IOS XE, con possibilità per gli attaccanti di eseguire codice arbitrario. CVE-2025-20338 consente injection di argomenti nella CLI, con severità 6.0 CVSS, mentre CVE-2025-20240 riguarda vulnerabilità XSS riflessa nell’interfaccia web, classificata 6.1 CVSS. Nei software per Access Point, CVE-2025-20364 consente injection di frame malevoli, con severità 4.3 CVSS. Cisco sottolinea l’assenza di workaround per alcuni di questi casi, raccomandando l’installazione immediata delle versioni correttive e l’adozione di pratiche di sanitizzazione input e di protezione tramite WAF dove possibile.
Altre vulnerabilità in prodotti Cisco
L’advisory copre anche vulnerabilità specifiche che impattano moduli e servizi correlati. Tra queste, CVE-2025-20365 riguarda cambiamenti anomali del gateway IPv6 in software per Access Point, con severità 4.3 CVSS, mentre altre criticità come quelle nei servizi di certificazione non autenticati e nel riconoscimento applicazioni evidenziano i rischi per integrità e disponibilità della rete. Cisco pubblica indicazioni puntuali per versioni affette, build correttive e workaround temporanei, sottolineando l’urgenza di aggiornamenti regolari e monitoraggio continuo delle anomalie di sistema.
Cisco IOS and IOS XE Software TACACS+ Authentication Bypass Vulnerability Cisco IOS Software Industrial Ethernet Switch Device Manager Denial of Service Vulnerability Cisco IOS XE Software Secure Boot Bypass Vulnerabilities Cisco IOS XE Software HTTP API Command Injection Vulnerability Cisco IOS and IOS XE Software CLI Denial of Service Vulnerability Cisco IOS XE Software on Cisco Catalyst 9500X and 9600X Series Switches Virtual Interface Access Control List Bypass Vulnerability Cisco IOS XE Software for Catalyst 9000 Series Switches Denial of Service Vulnerability Cisco IOS XE Software Web UI Reflected Cross-Site Scripting Vulnerability Cisco IOS XE Software Simple Network Management Protocol Denial of Service Vulnerability Cisco IOS XE Software Network-Based Application Recognition Denial of Service Vulnerability Cisco IOS XE Software CLI Argument Injection Vulnerability Cisco IOS XE Software for Catalyst 9800 Series Wireless Controller for Cloud Unauthenticated Access to Certificate Enrollment Service Vulnerability Cisco Wireless Access Point Software Device Analytics Action Frame Injection Vulnerability Cisco IOS and IOS XE Software SNMP Denial of Service and Remote Code Execution Vulnerability Cisco SD-WAN vEdge Software Access Control List Bypass Vulnerability Cisco Access Point Software Intermittent IPv6 Gateway Change Vulnerability