Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Cisco

Fecha de publicación 26/09/2025
Identificador
INCIBE-2025-0519
Importancia
5 - Crítica
Recursos Afectados

Según la vulnerabilidad, los productos afectados son:

  • CVE-2025-20333 (severidad crítica) y CVE-2025-20362 (severidad media):
    • Dispositivos Cisco que ejecuten alguno de los siguientes productos que estén configurados de forma vulnerable:
      • Cisco Secure Firewall ASA Software, características que pueden ser vulnerables debido a que su configuración básica puede hacer que los sockets SSL de escucha estén habilitados:
        • AnyConnect IKEv2 Remote Access (con servicios cliente);
        • Mobile User Security (MUS);
        • SSL VPN.
      • Cisco Secure FTD Software, características que pueden ser vulnerables debido a que su configuración básica puede hacer que los sockets SSL de escucha estén habilitados:
        • AnyConnect IKEv2 Remote Access (con servicios cliente);
        • AnyConnect SSL VPN.
  • CVE-2025-20363, severidad crítica:
    • Secure Firewall ASA Software, si tiene habilitada alguna de las siguientes características, ya que en su configuración básica pueden hacer que los sockets SSL de escucha estén habilitados:
      • Mobile User Security (MUS);
      • SSL VPN.
    • Secure Firewall FTD Software, si tiene habilitada alguna de las siguientes características, ya que en su configuración básica pueden hacer que los sockets SSL de escucha estén habilitados:
      • AnyConnect SSL VPN.
    • IOS Software, si tienen la característica de Remote Access SSL VPN habilitada;
    • IOS XE Software, si tienen la característica de Remote Access SSL VPN habilitada;
    • IOS XR Software (32-bit) si se ejecuta en routers Cisco ASR 9001 con HTTP server habilitado.

En los enlaces de las referencias se pueden encontrar detalles de cómo son las configuraciones vulnerables.

Descripción

Cisco ha publicado 3 notas de seguridad donde informa de 2 vulnerabilidades críticas y 1 de severidad media. En caso de que las vulnerabilidades sean explotadas podrían permitir a un atacante ejecutar código arbitrario en el dispositivo afectado y, para el caso de la vulnerabilidad de severidad media, para un atacante remoto no autenticado, acceder a URLs restringidas.

Solución

Actualizar los productos la versión más reciente.

En especial para la vulnerabilidad CVE-2025-20333, se recomienda que, posteriormente a la instalación de la actualización se revise la sección Configuración de amenazas para servicios VPN de la Guía de Configuración CLI de Cisco Secure Firewall ASA.

Detalle

Las vulnerabilidades de severidad crítica son:

  • CVE-2025-20333: La vulnerabilidad en el servidor web VPN de Cisco Secure Firewall Adaptive Security Appliance (ASA) Software y Cisco Secure Firewall Threat Defense (FTD) Software se produce por una validación incorrecta de las solicitudes de entrada proporcionadas por el usuario en HTTP(S). Un atacante con credenciales de usuario VPN válidas podría explotar esta vulnerabilidad enviando una petición HTTP manipulada al dispositivo afectado. En caso de que se logre explotar la vulnerabilidad, un atacante autenticado en remoto podría ejecutar código arbitrario como root y, posiblemente, lograr comprometer por completo el dispositivo afectado.

    Cisco informa de que esta vulnerabilidad está siendo explotada.

  • CVE-2025-20363: La vulnerabilidad en los servicios web podría permitir a un atacante remoto no autenticado (Cisco ASA y FTD Software) o autenticado con pocos privilegios (Cisco IOS, IOS XE, and IOS XR Software) ejecutar código arbitrario en el dispositivo afectado. La vulnerabilidad se produce por una validación incorrecta en las solicitudes de entrada proporcionadas el usuario en HTTP(S). Un atacante podría explotar esta vulnerabilidad enviando solicitudes HTTP manipuladas al servicio web de un dispositivo vulnerable tras obtener información adicional sobre el sistema, superar las medidas de mitigación de exploits o ambas cosas. En caso de que se logre explotar la vulnerabilidad, un atacante podría ejecutar código arbitrario como root lo que podría comprometer por completo el dispositivo afectado.

La vulnerabilidad de severidad media tiene asignado el identificador CVE-2025-20362, Cisco informa de que también está siendo explotada y su detalle se puede consultar en el enlace de las referencias

CVE
Explotación
Fabricante
cisco
Identificador CVE
CVE-2025-20333
Severidad
Crítica
Explotación
No
Fabricante
cisco
Identificador CVE
CVE-2025-20363
Severidad
Crítica
Explotación
Fabricante
cisco
Identificador CVE
CVE-2025-20362
Severidad
Media
Listado de referencias
Cisco (cisco-sa-asaftd-webvpn-z5xP8EUB) [CVE-2025-20333] - Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Remote Code Execution Vulnerability
Cisco (cisco-sa-http-code-exec-WmfP3h3O) - [CVE-2025-20363] - Cisco Secure Firewall Adaptive Security Appliance Software, Secure Firewall Threat Defense Software, IOS Software, IOS XE Software, and IOS XR Software Web Services Remote Code Execution Vulnerability
Cisco (cisco-sa-asaftd-webvpn-YROOTUW) [CVE-2025-20362] - Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Unauthorized Access Vulnerability
Etiquetas