Cisco - CVE-2025-20271
Date de publication :
Un défaut d’initialisation de variable dans le serveur VPN Cisco AnyConnect permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées lors de l’établissement d’une session, de provoquer un redémarrage du serveur.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Déni de service
Exploitation
La vulnérabilité exploitée est du type
CWE-457: Use of Uninitialized Variable
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Cisco Meraki MX Firmware dans les équipements des séries MX et Z
Versions 16.2
Versions 17
Versions 18.1xx antérieures à 18.107.13
Versions 18.2xx antérieures à 18.211.6
Versions 19.1.x antérieures à 19.1.8
Solutions ou recommandations
Mettre à jour Cisco Meraki MX Firmware vers la version 18.107.13, 18.211.6, 19.1.8 ou ultérieure.
Mettre à niveau Cisco Meraki MX Firmware versions 16.2 et 17 vers la version 18.107.13 ou ultérieure.
Des informations complémentaires sont disponibles dans le bulletin de Cisco.