思科產品多個漏洞

於思科產品發現多個漏洞。遠端攻擊者可利用這些漏洞，於目標系統觸發阻斷服務狀況、跨網站指令碼、繞過保安限制、遠端執行任意程式碼及敏感資料洩露。

注意：

CVE-2025-20333 、CVE-2025-20352 及 CVE-2025-20362 正在被廣泛利用。

針對 CVE-2025-20333，經過驗證且擁有有效 VPN 使用者憑證的遠端攻擊者可以透過向受影響的 Cisco ASA 軟體和Cisco FTD 軟體裝置發送精心設計的 HTTP 請求來利用此漏洞。成功利用此漏洞可能允許攻擊者以 root 身分執行任意程式碼，從而可能導致受影響裝置的完全入侵。

針對 CVE-2025-20352，已驗證身分且擁有低權限的遠端攻擊者，可以對運行 Cisco IOS 軟體或 Cisco IOS XE 軟體的受影響設備觸發阻斷服務狀況。已驗證身分及擁有高權限的遠端攻擊者，可以對運行 Cisco IOS XE 軟體的受影響設備觸發遠端執行任意程式碼。

針對 CVE-2025-20362，未經身份驗證的遠端攻擊者可以存取執行 Cisco ASA 軟體和Cisco FTD 軟體的受影響設備上的受限 URL 端點。

CVE-2025-20149 及 CVE-2025-20240 的概念驗證碼已被公開。

針對 CVE-2025-20149，已驗證身分的本地攻擊者可利用這個漏洞，對運行 Cisco IOS 軟體或 Cisco IOS XE 軟體的受影響設備觸發阻斷服務狀況。

針對 CVE-2025-20240，遠端攻擊者可透過誘使使用者點擊惡意連結來利用此漏洞，對運行 Cisco IOS XE 軟體的受影響設備觸發跨網站指令碼。

針對 CVE-2025-20333 和 CVE-2025-20362，一種新的攻擊變體可能導致未修補的裝置意外重新載入，造成阻斷服務狀況。

因此，風險等級被評為高度風險。

[更新於 2025-09-26]

更新描述、受影響之系統或技術、解決方案、漏洞識別碼及相關連結。

[更新於 2025-11-11]

更新描述。