思科安全（Cisco Security）Web服务CVE-2025-20363

思科安全（Cisco Security）是思科公司提供的网络安全解决方案和服务，为企业和组织提供全方位的安全防护，满足不同企业安全需求。

思科安全软件的Web服务涵盖多种类型，包括 Web 安全网关、Web应用和API保护等，应用于思科ASA、FTD、 IOS 软件、 IOS XR 等。

一、基本情况

思科安全防火墙自适应安全应用（ASA）思科 ASA 系列安全设备核心操作系统，高弹性应用提供高可用性，适用于任何分布式网络环境。

思科安全防火墙威胁防御（FTD）软件是思科安全防火墙，提供高级威胁防御功能，支持虚拟路由和转发（VRF）功能，实现路由表分离。

思科 IOS 软件是驻留在所有思科互联网络解决方案核心的增值软件，集成路由器、ATM 交换机、LAN 和 WAN 交换机等等网络平台类别。

思科 IOS XE 软件是为网络新时代设计的操作系统，具有开放、可编程、安全、模块化等特点，它基于标准的功能可加速业务和网络创新。

思科 IOS XR 软件自恢复分布式操作系统，用于 Cisco CRS-1 等路由器产品，提供路由系统可扩展性、高可用性、服务隔离和可管理性。

栋科技漏洞库关注到思科firepower_threat_defense的Web服务中存在一个漏洞，漏洞现已被追踪为CVE-2025-20363，CVSS 3.X评分9.0。

二、漏洞分析

CVE-2025-20363存在于防火墙自适应安全应用（ASA）、安全防火墙威胁防御（FTD）、IOS软件、IOS XE软件和IOS XR的Web服务中。

具体为：思科安全防火墙自适应安全应用（ASA）软件、安全防火墙威胁防御（FTD）、IOS软件，IOS XE软件、IOS XR软件Web服务。

该漏洞源于HTTP请求中用户提供的输入验证不当所致，成功利用该漏洞可以以root权限执行任意代码，可能导致受影响设备的完全泄露。

攻击者获取有关系统的附加信息后向受影响设备目标网络服务发送精心构造的HTTP请求来利用漏洞，克服利用缓解措施或两者兼而有之。

该漏洞可能导致的后果是，允许未经身份验证的远程攻击者或具有低用户特权的经过身份验证的远程攻击者在受影响设备执行任意代码。

可能的后果：

未经身份验证的远程攻击者（针对思科ASA和FTD软件）受影响设备上执行任意代码，可能导致受影响设备的完全 compromize。

具有低用户特权的经过身份验证的远程攻击者（针对思科IOS、IOS XE和IOS XR软件）在受影响设备上执行任意代码。

三、影响范围

7.0.0 <= cisco firepower_threat_defense <= 7.0.8

7.1.0 <= cisco firepower_threat_defense <= 7.2.10

7.3.0 <= cisco firepower_threat_defense <= 7.4.2.3

四、修复建议

未知

五、参考链接

管理员已设置登录后刷新可查看