CVE-2025-20155

Nome do Software Vulnerável e Versões Afetadas Software Cisco IOS XE (versões afetadas não especificadas)

Descrição Uma vulnerabilidade no carregamento de bootstrap do Software Cisco IOS XE poderia permitir que um atacante local autenticado gravasse arquivos arbitrários em um sistema afetado. Este problema ocorre devido à validação de entrada insuficiente do arquivo de bootstrap que é lido pelo software do sistema quando um dispositivo é implantado pela primeira vez no modo SD-WAN ou quando um administrador configura SD-Routing no dispositivo. Um atacante poderia explorar essa vulnerabilidade modificando um arquivo de bootstrap gerado pelo Cisco Catalyst SD-WAN Manager, carregando-o na memória flash do dispositivo e, em seguida, seja reiniciando o dispositivo em uma implantação green field no modo SD-WAN, seja configurando o dispositivo com SD-Routing. Uma exploração bem-sucedida poderia permitir que o atacante realizasse gravações arbitrárias de arquivos no sistema operacional subjacente.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.