To sårbarheder i Cisco IOS XR Software

I Ciscos "IOS XR March 2025" halvårlige udgivelse ses der to sårbarheder, som kan give ondsindede aktører muligheden for at afvikle Denial of Service-angreb.

Sårbarhederne har id'erne CVE-2025-20142 og CVE-2025-20146. Begge med en CVSS-score på 8,6.

CVE-2025-20142 skyldes forkert håndtering af forkert udformede IPv4-pakker, der modtages på "on line kort", hvor grænsefladen enten har en IPv4-ACL- eller QoS-politik. En ondsindet aktør kan udnytte sårbarheden ved at sende fabrikerede IPv4-pakker gennem en berørt enhed. En vellykket udnyttelse kan give aktøren mulighed for at forårsage netværksprocessorfejl, hvilket resulterer i en nulstilling eller nedlukning af netværksprocessen.

CVE-2025-20146 skyldes forkert håndtering af forkert udformede IPv4-multicast-pakker, der modtages på "on line kort", hvor grænsefladen enten har en IPv4-adgangskontrolliste (ACL) eller en QoS-politik. En ondsindet aktør kan udnytte denne sårbarhed ved at sende fabrikerede IPv4-multicast-pakker gennem en berørt enhed. En vellykket udnyttelse kan give aktøren mulighed for at forårsage linjekortundtagelser eller en hård nulstilling.

De berørte systemer er Cisco IOS XR Software til ASR 9000 Series Routere.

Det anbefales at opdatere sårbare systemer, jvf. producentens anvisninger.