安全公告概述
思科安全公告披露了思科Secure Firewall Adaptive Security Appliance(ASA)软件、Secure Firewall Threat Defense(FTD)软件、IOS软件、IOS XE软件和IOS XR软件中的Web服务存在远程代码执行漏洞。
公告ID:cisco-sa-http-code-exec-WmfP3h3O
首次发布:2025年9月25日 16:00 GMT
最后更新:2025年11月6日 15:50 GMT
版本:1.1
状态:最终版
漏洞详情
漏洞描述
此漏洞存在于思科多款产品的Web服务中,由于HTTP请求中用户提供输入验证不当所致。对于思科ASA和FTD软件,未经身份验证的远程攻击者可利用此漏洞;对于思科IOS、IOS XE和IOS XR软件,具有低用户权限的经过身份验证的远程攻击者可利用此漏洞。
攻击者可通过向受影响设备上的目标Web服务发送特制HTTP请求来利用此漏洞,成功利用可能允许攻击者以root权限执行任意代码,导致受影响设备完全被攻陷。
技术细节
- CVE ID:CVE-2025-20363
- CWE ID:CWE-122
- CVSS评分:9.0
- CVSS向量:CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
受影响产品
易受攻击的产品
- Secure Firewall ASA软件和Secure Firewall FTD软件:如果具有以下表格中列出的易受攻击配置(CSCwo18850)
- IOS软件:如果启用了远程访问SSL VPN功能(CSCwo35704)
- IOS XE软件:如果启用了远程访问SSL VPN功能(CSCwo35704,CSCwo35779)
- IOS XR软件(32位):如果在启用了HTTP服务器的Cisco ASR 9001路由器上运行(CSCwo49562)
设备配置确认方法
Cisco Secure Firewall ASA软件
| ASA软件功能 | 可能的易受攻击配置 |
|---|---|
| Mobile User Security (MUS) | webvpn mus password mus server enable port <端口号> mus <IPv4地址> <IPv4掩码> <接口名称> |
| SSL VPN | webvpn enable <接口名称> |
Cisco Secure Firewall FTD软件
| FTD软件功能 | 可能的易受攻击配置 |
|---|---|
| AnyConnect SSL VPN | webvpn enable <接口名称> |
Cisco IOS软件
使用 show running-config | section webvpn CLI命令。如果输出包含单独一行的 inservice 命令,则设备受影响。
Cisco IOS XE软件
使用 show running-config | section crypto ssl policy CLI命令。如果返回的任何策略不包含单独一行的 shutdown 命令,则设备受影响。
Cisco IOS XR软件
使用 run uname -s CLI命令确认是否为32位系统(输出包含QNX),并使用 show running-config | include http server CLI命令确认HTTP服务器是否启用。
解决方案
修复软件
思科已发布修复此漏洞的软件更新,强烈建议客户升级到固定的软件版本。
思科Secure Firewall ASA软件版本9.12和9.14:
- 对于运行9.12或9.14版本的特定ASA 5500-X系列型号,使用隐藏的9.12.4.72或9.14.4.28版本
- 其他平台使用思科软件检查器确定首个修复版本
软件检查器使用
客户可通过思科软件检查器页面确定其软件版本是否受此漏洞影响,并找到相应的修复版本。
其他信息
漏洞发现
此漏洞由思科高级安全计划组(ASIG)的Keane O’Kelley在解决思科TAC支持案例期间发现。
致谢
思科感谢以下组织对此调查的支持:
- 澳大利亚信号局澳大利亚网络安全中心
- 加拿大网络安全中心
- 英国国家网络安全中心(NCSC)
- 美国网络安全和基础设施安全局(CISA)
当前状态
思科PSIRT尚未发现此漏洞被公开披露或恶意利用。