CERTFR-2025-AVI-0819_Multiples vulnérabilités dans les produits Cisco
AVIS CERT
CERT-FR
Publié le 26 septembre 2025 à 09h17
Objet
Multiples vulnérabilités dans les produits Cisco
Référence
CERTFR-2025-AVI-0819
Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
Systèmes affectés
- Adaptive Security Appliance (ASA) versions 9.12.x antérieures à 9.12.4.72
- Adaptive Security Appliance (ASA) versions 9.14.x antérieures à 9.14.4.28
- Adaptive Security Appliance (ASA) versions 9.16.x antérieures à 9.16.4.85
- Adaptive Security Appliance (ASA) versions 9.17.x et 9.18.x antérieures à 9.18.4.67
- Adaptive Security Appliance (ASA) versions 9.19.x et 9.20.x antérieures à 9.20.4.10
- Adaptive Security Appliance (ASA) versions 9.22.x antérieures à 9.22.2.14
- Adaptive Security Appliance (ASA) versions 9.23.x antérieures à 9.23.1.19
- Firewall Threat Defense (FTD) versions 7.0.x antérieures à 7.0.8.1
- Firewall Threat Defense (FTD) versions 7.1.x et 7.2.x antérieures à 7.2.10.2
- Firewall Threat Defense (FTD) versions 7.3.x et 7.4.x antérieures à 7.4.2.4
- Firewall Threat Defense (FTD) versions 7.6.x antérieures à 7.6.2.1
- Firewall Threat Defense (FTD) versions 7.7.x antérieures à 7.7.10.1
- IOS XE, se référer au bulletin de sécurité de l'éditeur pour les versions vulnérables (cf. section Documentation)
- IOS XR version 6.8 sur architecture 32 bits
- IOS XR version 6.9 sur architecture 32 bits
- IOS, se référer au bulletin de sécurité de l'éditeur pour les versions vulnérables (cf. section Documentation)
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Cisco. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.
Cisco indique que les vulnérabilités CVE-2025-20333 et CVE-2025-20362 sont activement exploitées.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Billet de blogue Cisco asa_ftd_continued_attacks du 25 septembre 2025
- Bulletin de sécurité Cisco cisco-sa-asaftd-webvpn-YROOTUW du 25 septembre 2025
- Bulletin de sécurité Cisco cisco-sa-asaftd-webvpn-z5xP8EUB du 25 septembre 2025
- Bulletin de sécurité Cisco cisco-sa-http-code-exec-WmfP3h3O du 25 septembre 2025
- CVE-2025-20333
- CVE-2025-20362
- CVE-2025-20363