Esta actualización de seguridad corrige una nueva vulnerabilidad que afecta al componente del servidor VPN Cisco AnyConnect. Si se explota, esta vulnerabilidad podría permitir a un actor malicioso producir la indisponibilidad del servicio en los sistemas afectados.
Productos afectados
- Meraki MX versiones MX64, MX64W, MX65, MX65W, MX67, MX67C, MX67W, MX68, MX68CW, MX68W, MX75, MX84, MX85, MX95, MX100, MX105, MX250, MX400, MX450, MX600
- Meraki Z versiones Z3, Z3C, Z4, Z4C
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-20271: con una puntuación de 8.6 en CVSS v3.1. Existe una vulnerabilidad en la inicialización de variables al establecer una sesión VPN SSL. Esta podría permitir que un actor malicioso envíe una secuencia de solicitudes HTTPS manipuladas a un dispositivo afectado y reinicie el servidor VPN Cisco AnyConnect.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-20271
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-meraki-mx-vpn-dos-sM5GCfm7