Cisco - CVE-2025-20212
Date de publication :
Un défaut d’initialisation de variable dans le serveur VPN Cisco AnyConnect des équipements Meraki MX et Z permet à un attaquant, en envoyant des attributs spécifiquement forgés lors de l’établissement d’une session VPN SSL avec des identifiants légitimes, de provoquer un redémarrage du serveur.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Déni de service
Exploitation
La vulnérabilité exploitée est du type
CWE-457: Use of Uninitialized Variable
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Cisco Meraki MX Firmware
Versions 16.2
Versions 17
Versions 18.1 antérieures à 18.107.12
Versions 18.2 antérieures à 18.211.4
Versions 19.1 antérieures à 19.1.4
Solutions ou recommandations
Mettre à jour Cisco Meraki MX Firmware vers la version 18.107.12, 18.211.4, 19.1.4 ou ultérieure.
Mettre à niveau Cisco Meraki MX Firmware versions 16.2 et 17 vers la version 18.107.12 ou ultérieure.
Des informations complémentaires sont disponibles dans le bulletin de Cisco.