Cisco ha indicado que ya está disponible el código de explotación de prueba de concepto (PoC) para CVE-2025-20128, pero la empresa no tiene constancia de que la vulnerabilidad se esté explotando en la red. El mérito de informar sobre la falla se ha atribuido a OSS-Fuzz , el programa de fuzzing continuo de Google para software de código abierto, lo que significa que es poco probable que la PoC acabe en línea en un futuro próximo.
Sin embargo, se recomienda a los usuarios que implementen las actualizaciones de seguridad lo antes posible.
Acerca de CVE-2025-20156
Cisco Meeting Management es una herramienta para supervisar y administrar reuniones que se ejecutan en Cisco Meeting Server, la plataforma de reuniones de video local de la empresa.
La vulnerabilidad CVE-2025-20156 existe porque no se exige la autorización adecuada a los usuarios de la API REST de la solución. Esta vulnerabilidad puede ser utilizada por atacantes remotos autenticados con privilegios bajos para elevar los privilegios a administrador en un dispositivo afectado, simplemente enviando solicitudes de API a un punto final específico.
“Una explotación exitosa podría permitir al atacante obtener control a nivel de administrador sobre los nodos perimetrales administrados por Cisco Meeting Management”, explicó Cisco .
La vulnerabilidad afecta a las versiones 3.9 y 3.8 y anteriores de Cisco Meeting Management, y no afecta a la versión 3.10. Dado que no hay una solución alternativa disponible, los administradores deben actualizar a una versión corregida (3.9.1) o a la que no esté afectada (3.10).
CVE-2025-20156 fue informado por Ben Leonard-Lagarde, del equipo de pentesting Modux con sede en Bristol.
Acerca de CVE-2025-20128
CVE-2025-20128 es un error de desbordamiento de búfer de montón en el analizador de archivos OLE2 utilizado por ClamAV, el kit de herramientas antimalware de código abierto mantenido por la división de ciberseguridad Talos de Cisco.
“Un atacante podría explotar [CVE-2025-20128] enviando un archivo creado con contenido OLE2 para que ClamAV lo escanee en un dispositivo afectado. Una explotación exitosa podría permitir al atacante terminar el proceso de escaneo de ClamAV, lo que resultaría en una condición de denegación de servicio en el software afectado”, explicó Cisco .
La vulnerabilidad se ha corregido en las versiones 1.4.2 y 1.0.8 de ClamAV, pero como ClamAV es utilizado por varias soluciones de software de Cisco, la solución debe propagarse.
La compañía ha confirmado que sus Secure Email Gateways y Secure Web Appliances no se ven afectados, pero Cisco Secure Endpoint Connectors para Windows, Linux y macOS (distribuidos desde Cisco Secure Endpoint Private Cloud) sí lo están, y todos ellos deberían actualizarse a una versión fija: 7.5.20 o 8.4.31 (para Windows), 1.25.1 (para Linux), 1.24.4 (para macOS).
Cisco Secure Endpoint Private Cloud no se ve afectado, pero debería estar en la versión 4.2.0, con conectores actualizados.
“Las versiones actualizadas de Cisco Secure Endpoint Connector están disponibles a través del portal Cisco Secure Endpoint. Según la política configurada, Cisco Secure Endpoint Connector se actualizará automáticamente”, afirma Cisco.
“Las versiones afectadas de los clientes de Cisco Secure Endpoint Connector para Cisco Secure Endpoint Private Cloud se han actualizado en el repositorio de conectores. Los clientes recibirán estas actualizaciones de conectores a través de los procesos normales de actualización de contenido”.
Fuente y redacción: helpnetsecurity.com
