Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Cisco Prime Infrastructure y Cisco Evolved Programmable Network Manager (CVE-2025-20272)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
16/07/2025
Última modificación:
29/06/2026

Descripción

Una vulnerabilidad en un subconjunto de las API REST de Cisco Prime Infrastructure y Cisco Evolved Programmable Network Manager (EPNM) podría permitir que un atacante remoto autenticado y con pocos privilegios realice un ataque de inyección SQL a ciegas. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario. Un atacante podría explotar esta vulnerabilidad enviando una solicitud manipulada a una API afectada. Una explotación exitosa podría permitir al atacante ver datos en algunas tablas de bases de datos en un dispositivo afectado.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:cisco:prime_infrastructure:*:-:*:*:*:*:*:* 3.10.6 (excluyendo)
cpe:2.3:a:cisco:prime_infrastructure:3.10.6:-:*:*:*:*:*:*
cpe:2.3:a:cisco:prime_infrastructure:3.10.6:security_update_01:*:*:*:*:*:*
cpe:2.3:a:cisco:evolved_programmable_network_manager:*:*:*:*:*:*:*:* 8.0.1 (excluyendo)
cpe:2.3:a:cisco:evolved_programmable_network_manager:8.1.0:*:*:*:*:*:*:*