Se han identificado nuevas vulnerabilidades en productos Cisco Enterprise Chat and Email (ECE) y Cisco Meraki MX y Z Series, incluyendo dos de severidades altas, lo que podría comprometer la disponibilidad del servicio en los sistemas de destino.
Productos Afectados
- Chat y correo electrónico empresarial de Cisco (ECE) versiones anteriores a la 12.5.
- Cisco Meraki Serie MX y Z
- Versiones afectadas: Firmware 16.2 y posteriores. Para los modelos MX64 y MX65, las versiones afectadas son 17.6 y posteriores.
Impacto
Las vulnerabilidades de severidad alta se identifican como
CVE-2025-20212: Con una puntuación CVSS de 7.7. Esta vulnerabilidad podría permitir que un actor malicioso remoto, que ya tenga credenciales válidas, cause una denegación de servicio (DoS) al manipular ciertos atributos durante la conexión VPN SSL.
CVE-2025-20139: Con una puntuación CVSS de 7.5. Esta vulnerabilidad se debe a una validación incorrecta de la información proporcionada por el usuario en los puntos de entrada del chat. Un actor malicioso podría explotar esta vulnerabilidad enviando solicitudes maliciosas a un punto de entrada del chat de la aplicación afectada. Si se explota con éxito, podría provocar denegación de servicio (DoS).
Recomendación
Actualizar a las versiones más recientes, de acuerdo con el boletín de seguridad en la sección Referencias.
Referencias
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisohttpsry/cisco-sa-ece-dos-tC6m9GZ8
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-meraki-mx-vpn-dos-vNRpDvfb
- https://sec.cloudapps.cisco.com/security/center/publicationListing.x