Cisco - CVE-2026-20012

Date de publication :

Il s'agit d'une vulnérabilité dans le traitement du protocole IKEv2 (Internet Key Exchange version 2) affectant Cisco IOS, IOS XE, ASA et FTD.

Cisco IOS et IOS XE sont les systèmes d'exploitation réseau équipant les routeurs et commutateurs Cisco. Cisco Secure Firewall ASA est une solution de pare-feu et de terminaison VPN. Cisco Secure Firewall Threat Defense (FTD) est la plateforme pare-feu nouvelle génération de Cisco combinant les fonctions ASA et IPS.

Elle est due à une analyse incorrecte des paquets IKEv2 par le moteur de traitement du protocole, qui ne libère pas correctement la mémoire allouée après traitement.

Un attaquant distant non authentifié envoie des paquets IKEv2 spécialement forgés vers un équipement exposant le port UDP 500 ou 4500 avec IKEv2 activé. Sur IOS et IOS XE, l'exploitation provoque un rechargement forcé de l'équipement. Sur ASA et FTD, elle entraîne un épuisement progressif de la mémoire système, rendant impossible l'établissement de nouvelles sessions VPN IKEv2 et nécessitant un redémarrage manuel pour rétablir le service.

CVE-2026-20012

[Score CVSS v3.1 : 8.6]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Déni de service (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-401 : Missing Release of Memory after Effective Lifetime

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   Cisco IOS Software, toutes versions avec IKEv2 activé antérieures aux versions corrigées indiquées dans le Cisco Software Checker.
•   Cisco IOS XE Software, toutes versions avec IKEv2 activé antérieures aux versions corrigées.
•   Cisco Secure Firewall ASA Software, toutes versions avec IKEv2 activé antérieures aux versions corrigées.
•   Cisco Secure Firewall FTD Software, toutes versions avec IKEv2 activé antérieures aux versions corrigées.

Solutions ou recommandations

Les versions corrigées sont disponibles via le Cisco Software Checker pour chaque branche (IOS, IOS XE, ASA, FTD).

Liens