一、 漏洞 CVE-2025-20194 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
## 漏洞概述
Cisco IOS XE Software的web管理界面存在注入漏洞,允许经过身份验证的低权限远程攻击者对受影响设备执行注入攻击。
## 影响版本
该漏洞影响所有运行Cisco IOS XE Software的设备,具体版本未提及。
## 细节
该漏洞源于输入验证不足。攻击者可以通过向web管理界面发送精心构造的输入来利用该漏洞。成功的利用可以使攻击者从底层操作系统读取有限的文件,或者清除受影响设备的日志服务(syslog)和许可日志。
## 影响
若被成功利用,攻击者可以:
- 读取底层操作系统的有限文件。
- 清除设备上的syslog和许可日志。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
输出中的特殊元素转义处理不恰当(注入)
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability in the web-based management interface of Cisco IOS XE Software could allow an authenticated, low-privileged, remote attacker to perform an injection attack against an affected device.
This vulnerability is due to insufficient input validation. An attacker could exploit this vulnerability by sending crafted input to the web-based management interface. A successful exploit could allow the attacker to read limited files from the underlying operating system or clear the syslog and licensing logs on the affected device.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Cisco IOS XE 操作系统命令注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Cisco IOS XE是美国思科(Cisco)公司的一个操作系统。用于企业有线和无线访问,汇聚,核心和WAN的单一操作系统,Cisco IOS XE降低了业务和网络的复杂性。 Cisco IOS XE存在操作系统命令注入漏洞,该漏洞源于输入验证不足,可能导致文件读取或日志清除攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-20194 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-20194 的情报信息
-
标题: Cisco IOS XE Software Web-Based Management Interface Vulnerabilities -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2025-20194