Vulnerabilidad en Cisco Evolved Programmable Network Manager y Cisco Prime Infrastructure (CVE-2025-20269)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/08/2025
Última modificación:
10/09/2025
Descripción
Una vulnerabilidad en la interfaz de administración web de Cisco Evolved Programmable Network Manager (EPNM) y Cisco Prime Infrastructure podría permitir que un atacante remoto autenticado y con pocos privilegios obtenga archivos arbitrarios del sistema de archivos subyacente de un dispositivo afectado. Esta vulnerabilidad se debe a una validación de entrada insuficiente para solicitudes HTTP específicas. Un atacante podría explotar esta vulnerabilidad enviando solicitudes HTTP manipuladas a la interfaz de administración web de un dispositivo afectado. Una explotación exitosa podría permitir al atacante acceder a archivos confidenciales del dispositivo afectado.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:evolved_programmable_network_manager:*:*:*:*:*:*:*:* | 7.1.0 (incluyendo) | |
| cpe:2.3:a:cisco:evolved_programmable_network_manager:8.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:evolved_programmable_network_manager:8.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:prime_infrastructure:*:*:*:*:*:*:*:* | 3.9 (incluyendo) | |
| cpe:2.3:a:cisco:prime_infrastructure:*:*:*:*:*:*:*:* | 3.10 (incluyendo) | 3.10.6 (incluyendo) |
| cpe:2.3:a:cisco:prime_infrastructure:3.10.6:security_update_01:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvd36820
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-pi-epnm-TET4GxBX
- https://sec.cloudapps.cisco.com/security/center/viewErp.x?alertId=ERP-66682