一、 漏洞 CVE-2025-20118 基础信息
漏洞标题
Cisco Application Policy Infrastructure Controller认证命令注入漏洞由于敏感信息泄露
来源:AIGC 神龙大模型
漏洞描述信息
在Cisco APIC内部系统进程的实现中存在一个漏洞,该漏洞可能允许经过身份验证的本地攻击者访问受感染设备上的敏感信息。攻击者必须拥有有效的管理凭据才能利用此漏洞。 该漏洞是由于通过系统命令行界面命令显示的敏感信息掩护不足所导致的。攻击者可以通过在设备命令行界面使用侦察技术来利用此漏洞。成功利用此漏洞可能使攻击者能够访问受感染设备上的敏感信息,这些信息可用于进一步的攻击。 注:这里的“受感染设备”是直译,实际情况中一般指“受漏洞影响的设备”。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
信息暴露
来源:AIGC 神龙大模型
漏洞标题
Cisco Application Policy Infrastructure Controller Authenticated Command Injection Due to Sensitive Disclosure Vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability in the implementation of the internal system processes of Cisco APIC could allow an authenticated, local attacker to access sensitive information on an affected device. To exploit this vulnerability, the attacker must have valid administrative credentials. This vulnerability is due to insufficient masking of sensitive information that is displayed through system CLI commands. An attacker could exploit this vulnerability by using reconnaissance techniques at the device CLI. A successful exploit could allow the attacker to access sensitive information on an affected device that could be used for additional attacks.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
敏感数据的不恰当跨边界移除
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-20118 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-20118 的情报信息