一、 漏洞 CVE-2025-20181 基础信息
漏洞信息
# N/A
## 漏洞概述
Cisco IOS 软件中的一个漏洞可允许经过身份验证的本地攻击者(级别15权限)或未经过身份验证的物理访问设备的攻击者在启动时执行持久代码并破坏信任链。
## 影响版本
- Cisco Catalyst 2960X
- Cisco Catalyst 2960XR
- Cisco Catalyst 2960CX
- Cisco Catalyst 3560CX
## 细节
该漏洞源于特定文件在设备启动过程中加载时未进行签名验证。攻击者可以通过将特定文件放置到受影响设备上的特定位置来利用此漏洞。成功利用此漏洞可能使攻击者能够在启动时执行任意代码。
## 影响
由于此漏洞使得攻击者能够绕过设备的重要安全特性,Cisco 将该漏洞的严重性级别从“中等”提升至“高”。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability in Cisco IOS Software for Cisco Catalyst 2960X, 2960XR, 2960CX, and 3560CX Series Switches could allow an authenticated, local attacker with privilege level 15 or an unauthenticated attacker with physical access to the device to execute persistent code at boot time and break the chain of trust.
This vulnerability is due to missing signature verification for specific files that may be loaded during the device boot process. An attacker could exploit this vulnerability by placing a crafted file into a specific location on an affected device. A successful exploit could allow the attacker to execute arbitrary code at boot time.
Because this allows the attacker to bypass a major security feature of the device, Cisco has raised the Security Impact Rating (SIR) of this advisory from Medium to High.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
密码学签名的验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Cisco IOS 数据伪造问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Cisco IOS是美国思科(Cisco)公司的一套为其网络设备开发的操作系统。 Cisco IOS存在数据伪造问题漏洞,该漏洞源于缺少签名验证,可能导致执行任意代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-20181 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-20181 的情报信息
-
标题: Cisco IOS Software for Cisco Catalyst 2960X, 2960XR, 2960CX, and 3560CX Series Switches Secure Boot Bypass Vulnerability -- 🔗来源链接
标签:
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-20181