Cisco ha advertido sobre una falla de seguridad de alta gravedad en el software IOS y el software IOS XE que podría permitir a un atacante remoto ejecutar código arbitrario o activar una condición de denegación de servicio (DoS) en circunstancias específicas.
La compañía dijo que la vulnerabilidad, CVE-2025-20352 (puntuación CVSS: 7.7), ha sido explotado en la naturaleza, añadiendo que se dio cuenta de ello «después de que las credenciales del administrador local se vieran comprometidas».
El problema, según la empresa principal de equipos de red, tiene su origen en el subsistema del Protocolo simple de administración de redes (SNMP) y surge como resultado de una condición de desbordamiento de la pila.
Un atacante remoto autenticado podría aprovechar la falla enviando un paquete SNMP diseñado a un dispositivo afectado a través de redes IPv4 o IPv6, lo que generaría DoS si tiene pocos privilegios o la ejecución de código arbitrario como root si tiene altos privilegios y, en última instancia, toma el control del sistema vulnerable.
Sin embargo, Cisco señaló que para que esto suceda, se deben cumplir las siguientes condiciones:
- Para provocar el DoS, el atacante debe tener la cadena de comunidad de solo lectura SNMPv2c o anterior o credenciales de usuario de SNMPv3 válidas
- Para ejecutar código como usuario raíz, el atacante debe tener la cadena de comunidad de solo lectura SNMPv1 o v2c o credenciales de usuario SNMPv3 válidas y credenciales administrativas o de privilegio (15) en el dispositivo afectado.
La compañía dijo que el problema afecta a todas las versiones de SNMP, así como a los switches Meraki MS390 y Cisco Catalyst de las series 9300 que ejecutan Meraki CS 17 y versiones anteriores. Se ha corregido en la versión 17.15.4a del software Cisco IOS XE. El software Cisco IOS XR y el software NX-OS no se ven afectados.
«Esta vulnerabilidad afecta a todas las versiones de SNMP. Todos los dispositivos que tienen SNMP habilitado y no han excluido explícitamente el ID del objeto (OID) afectado deben considerarse vulnerables», afirma Cisco.
Si bien no existen soluciones alternativas para resolver el problema CVE-2025-20352, una mitigación propuesta por Cisco consiste en permitir que solo los usuarios confiables tengan acceso a SNMP en un sistema afectado y monitorear los sistemas mediante la ejecución del comando «show snmp host».
«Los administradores pueden deshabilitar los OID afectados en un dispositivo», agregó. «No todo el software admitirá el OID que aparece en la mitigación. Si el OID no es válido para un software específico, entonces no se ve afectado por esta vulnerabilidad. La exclusión de estos OID puede afectar a la administración de los dispositivos mediante SNMP, como la detección y el inventario de hardware».