一、 漏洞 CVE-2025-20197 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
## 漏洞概述 Cisco IOS XE 软件命令行界面 (CLI) 中存在漏洞,允许拥有特权级别 15 的本地认证攻击者将权限提升到受影响设备底层操作系统的 root 权限。 ## 影响版本 未指定具体影响版本。 ## 漏洞细节 该漏洞是由在处理特定配置命令时输入验证不足造成的。攻击者可以通过在特定配置命令中包含精心设计的输入来利用此漏洞。成功利用该漏洞后,攻击者可以将权限提升到受影响设备底层操作系统的 root 权限。安全影响等级 (SIR) 提高到高,因为攻击者可以访问受影响设备的底层操作系统,并执行可能未被侦测到的操作。 ## 影响 攻击者需要具备进入受影响设备配置模式的特权,通常是特权级别 15。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability in the CLI of Cisco IOS XE Software could allow an authenticated, local attacker with privilege level 15 to elevate privileges to root on the underlying operating system of an affected device. This vulnerability is due to insufficient input validation when processing specific configuration commands. An attacker could exploit this vulnerability by including crafted input in specific configuration commands. A successful exploit could allow the attacker to elevate privileges to root on the underlying operating system of an affected device. The security impact rating (SIR) of this advisory has been raised to High because an attacker could gain access to the underlying operating system of the affected device and perform potentially undetected actions. Note: The attacker must have privileges to enter configuration mode on the affected device. This is usually referred to as privilege level 15.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:L/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
输入验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Cisco IOS XE 输入验证错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Cisco IOS XE是美国思科(Cisco)公司的一个操作系统。用于企业有线和无线访问,汇聚,核心和WAN的单一操作系统,Cisco IOS XE降低了业务和网络的复杂性。 Cisco IOS XE存在输入验证错误漏洞,该漏洞源于输入验证不足,可能导致权限提升。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
输入验证错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-20197 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-20197 的情报信息