Vulnerabilidad en Cisco Secure Firewall Management Center (CVE-2025-20265)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-74 Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)

Fecha de publicación:

14/08/2025

Última modificación:

16/08/2025

Descripción

Una vulnerabilidad en la implementación del subsistema RADIUS del software Cisco Secure Firewall Management Center (FMC) podría permitir que un atacante remoto no autenticado inyecte comandos de shell arbitrarios que son ejecutados por el dispositivo. Esta vulnerabilidad se debe a una gestión inadecuada de la entrada del usuario durante la fase de autenticación. Un atacante podría explotar esta vulnerabilidad enviando una entrada manipulada al introducir credenciales que se autenticarán en el servidor RADIUS configurado. Una explotación exitosa podría permitir al atacante ejecutar comandos con un alto nivel de privilegios. Nota: Para explotar esta vulnerabilidad, el software Cisco Secure FMC debe estar configurado para la autenticación RADIUS para la interfaz de administración web, la administración SSH o ambas.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 10.00 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto