Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2025 S2 Grupo
Alertas

Vulnerabilidades críticas en Cisco 2025

09 May 2025

Vulnerabilidad crítica - 09/05

Introducción

La vulnerabilidad CVE-2025-20188 es una falla crítica en el software Cisco IOS XE para Wireless LAN Controllers (WLCs) que permite a atacantes remotos no autenticados subir archivos arbitrarios a través de solicitudes HTTPS manipuladas.

Análisis

CVE-2025-20188 - CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H - 10.0

Esta vulnerabilidad se debe a la presencia de un JSON Web Token (JWT) codificado de forma fija en el sistema afectado. Si se explota con éxito, un atacante podría realizar cargas de archivos, recorridos de directorios y ejecutar comandos arbitrarios con privilegios de root. Para que la explotación sea exitosa, la función de descarga de imágenes de puntos de acceso fuera de banda (Out-of-Band AP Image Download) debe estar habilitada en el dispositivo, aunque esta función está deshabilitada por defecto.

Versiones afectadas

Los siguientes productos de Cisco están afectados:

  • Catalyst 9800-CL Wireless Controllers para Cloud

  • Catalyst 9800 Embedded Wireless Controller para los switches Catalyst 9300, 9400 y 9500 Series

  • Catalyst 9800 Series Wireless Controllers

  • Embedded Wireless Controller en puntos de acceso Catalyst

Recomendaciones

Se recomienda aplicar las actualizaciones de software proporcionadas por Cisco para corregir esta vulnerabilidad.

Workarounds

No hay workarounds disponibles para esta vulnerabilidad. 

Referencias

  • https://nvd.nist.gov/vuln/detail/CVE-2025-20188

  • https://thehackernews.com/2025/05/cisco-patches-cve-2025-20188-100-cvss.html

  • https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wlc-file-uplpd-rHZG9UfC

Vulnerabilidad crítica - 27/06

Introducción

Las vulnerabilidades CVE‑2025‑20281 y CVE‑2025‑20282 afectan a Cisco Identity Services Engine (ISE) y al componente ISE‑PIC. Ambas permiten ejecución de código remoto sin autenticación, obteniendo privilegios root a través de APIs expuestas.

Análisis

CVE‑2025‑20281 – CVSS 3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/ - 9.8

Esta vulnerabilidad, causada por insuficiente validación de entrada en una API específica, permite que un atacante no autenticado envíe peticiones malformadas para ejecutar código arbitrario como root en el sistema subyacente.

CVE‑2025‑20282 – CVSS 3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/ - 10

Debido a la falta de verificación de archivos subidos en una API interna, permite que un atacante no autenticado cargue ficheros en directorios privilegiados y luego los ejecute como root.

Versiones afectadas

Cisco ISE y ISE‑PIC:

  • Todas las versiones 3.3

  • Todas las versiones 3.4

Recomendaciones

Actualizar inmediatamente a:

  • Versión 3.3 con Patch 6

  • Versión 3.4 con Patch 2 

Seguir procedimientos internos de parcheo y pruebas previas a producción.

Después de la actualización, reiniciar servicios de ISE/ISE‑PIC para asegurar que no se mantengan procesos maliciosos.

Workarounds

No hay workarounds disponibles para esta vulnerabilidad. 

Referencias 

Vulnerabilidad crítica - 03/07

Introducción

CVE-2025-20309 afecta a ciertas versiones del software Cisco Unified Communications Manager (Unified CM) y su edición Session Management Edition (SME). 

Análisis

CVE-2025-20309 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - 10

Reside en la presencia de una cuenta con privilegios de root, incorporada para pruebas internas en ciertas versiones del producto, cuyas credenciales están codificadas y no pueden ser modificadas ni eliminadas por los administradores del sistema. Esta cuenta puede ser utilizada para acceder al sistema mediante SSH, sin requerir autenticación previa.

Versiones afectadas

Versiones Engineering Special (ES) de Cisco Unified CM y SME, específicamente desde la 15.0.1.13010‑1 hasta la 15.0.1.13017‑1. Las versiones estándar no se ven afectadas, salvo que se haya instalado alguno de estos paquetes ES vulnerables.

Recomendaciones

Cisco ha lanzado una actualización correctiva en la versión 15SU3 y también ha puesto a disposición un parche independiente identificado como CSCwp27755_D0247‑1.cop.sha512, que elimina la cuenta de prueba y restablece la configuración segura del sistema.

Workarounds

No hay workarounds disponibles para esta vulnerabilidad. 

Referencias

Vulnerabilidad crítica - 17/07

Introducción

CVE-2025-20337 es una vulnerabilidad de tipo Remote Code Execution (RCE) sin autenticación. El fallo se encuentra en una API expuesta por el sistema operativo subyacente del ISE (basado en Linux).
Esta API no valida adecuadamente los datos que recibe del cliente (usuario externo), lo que permite inyectar comandos arbitrarios en el sistema.

Análisis

CVE-2025-20337 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H- 10

El problema radica en la mala validación de entradas dentro de una interfaz de programación de aplicaciones (API) expuesta por Cisco ISE. Esta API, diseñada para operaciones administrativas, no sanitiza correctamente los datos que recibe, permitiendo la inyección de comandos del sistema operativo. Esto ocurre en las versiones afectadas (ISE 3.3 y 3.4), donde ciertas peticiones HTTP maliciosas pueden provocar que el backend de ISE ejecute código directamente como root.

Versiones afectadas

  • Cisco ISE o ISE-PIC versión 3.3 (corregido en el parche 7 de la versión 3.3)

  • Cisco ISE o ISE-PIC versión 3.4 (corregido en el parche 2 de la versión 3.4)

Recomendaciones

Mantener los sistemas actualizados para evitar posibles amenazas.

Workarounds

No hay workarounds para esta vulnerabilidad.

Referencias

Vulnerabilidad crítica - 18/08

Introducción

CVE-2025-20265 es unavulnerabilidad crítica de seguridad que afecta a Cisco Secure Firewall Management Center (FMC), el sistema que se usa para administrar y controlar firewalls de Cisco en una red.

Análisis

CVE-2025-20265 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - 10

CVE-2025-20265 permite que unatacante remoto y no autenticado puede enviar datos maliciosos al intentar autenticarse mediante RADIUS (ya sea desde la interfaz web o SSH) y lograr que el sistema ejecute comandos arbitrarios con privilegios elevados.

Versiones afectadas

Solo afecta a las versiones 7.0.7 y 7.7.0 del software Cisco Secure FMC si tienen habilitada la autenticación RADIUS.

Recomendaciones

  • Aplicar el parche que Cisco publicó el 14 de agosto

  • Como medida temporal, se recomienda desactivar la autenticación RADIUS y utilizar métodos alternativos como cuentas locales, autenticación externa (LDAP) o SAML SSO

Workarounds

No hay workarounds para esta vulnerabilidad.

Referencias

Vulnerabilidad crítica - 26/09

Introducción

CVE-2025-20333 es un fallo de validación de entradas en el servidor web de las funciones VPN que permite a un atacante autenticado ejecutar código arbitrario con privilegios de root en el sistema.

Esta vulnerabilidad fue descubierta tras incidentes reales en clientes. Investigaciones posteriores vincularon su explotación al grupo APT UAT4356 (Storm-1849), el mismo grupo relacionado con la campaña “ArcaneDoor”. Este actor no solo aprovechó la falla para obtener acceso, sino que además desplegó técnicas de persistencia avanzada, como modificaciones en el firmware (ROM), que permitían mantener el control incluso tras reinicios o actualizaciones.

CVE-2025-20333 suele aparecer en conjunto con CVE-2025-20362, una vulnerabilidad complementaria que facilita la explotación al reducir las barreras de autorización. La combinación de ambas incrementa notablemente el impacto y el alcance de los ataques.

Análisis

CVE-2025-20333 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H - 9,9

CVE-2025-20333 es una vulnerabilidad crítica de ejecución remota de código descubierta en los dispositivos Cisco Adaptive Security Appliance (ASA) y Cisco Firepower Threat Defense (FTD), concretamente, en el servicio web que gestiona funciones de VPN. El fallo radica en una validación insuficiente de las solicitudes enviadas al sistema, lo que permite que un atacante con credenciales válidas de VPN manipule esas entradas y consiga ejecutar código arbitrario con privilegios de administrador. El riesgo principal de esta vulnerabilidad es que convierte a un dispositivo de seguridad perimetral en un punto de entrada total para el adversario. Una vez explotada, el atacante obtiene el control del equipo y puede interceptar, manipular o redirigir el tráfico que circula a través de él.

Versiones afectadas

  • Cisco ASA: 9.16, 9.17, 9.18, 9.19, 9.20, 9.22, etc. 

  • Cisco FTD: ramas como 7.0, 7.2, 7.4, 7.6, etc.

Recomendaciones

Cisco ha publicado las siguientes correcciones para mitigar esta vulnerabilidad:

  • Para ASA: versiones fijas incluyen (por ejemplo) 9.16.4.85, 9.17.1.45, 9.18.4.47, 9.19.1.37, 9.20.3.7, 9.22.1.3, entre otras. 

  • Para FTD: versiones fijas como 7.0.8.1, 7.2.9, 7.4.2.4, 7.6.1, etc. 

Cisco recomienda actualizar los dispositivos afectados a estas versiones corregidas.

Workarounds

No hay workarounds para esta vulnerabilidad.

Referencias

Artículos relacionados
Vulnerabilidades críticas en Figma MCP 2025
Leer más →
Vulnerabilidades críticas en Lanscope Endpoint Manager en 2025
Leer más →
Vulnerabilidades críticas en TP-Link en 2025
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día