Rilevato sfruttamento attivo di vulnerabilità in prodotti Cisco (AL04/251218/CSIRT-ITA)

Data:
18 Dicembre 2025

Impatto Sistemico

Critico (82.05)

Sintesi

Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2025-20393, con gravità “critica”, che interessa i prodotti Cisco Secure Email Gateway e Cisco Secure Email and Web Manager. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato remoto, non autenticato, di eseguire codice arbitrario sui i sistemi interessati.

Tipologia

Remote Code Execution

Descrizione e potenziali impatti

È stato recentemente rilevato lo sfruttamento attivo della vulnerabilità critica CVE-2025-20393 – relativa ai prodotti Cisco Secure Email Gateway e Cisco Secure Email and Web Manager.

Tale vulnerabilità – di tipo “Remote Code Execution” e con score CVSS v3.1 pari a 10 – è dovuta ad una errata convalida dei dati immessi (Improper Input Validation) che consente ad un utente malevolo remoto l’esecuzione di codice arbitrario con privilegi di root sul sistema operativo dell’appliance.

In particolare, l’endpoint AsyncOS legato allo Spam Quarantine accetta parametri controllati dal client che non vengono validati o sanitizzati correttamente prima di essere passati al sistema sottostante.

Per lo sfruttamento, l’utente malevolo invia richieste HTTP/HTTPS appositamente costruite verso l’interfaccia Spam Quarantine esposta, senza la necessità di credenziali o interazione dell’utente. Se l’appliance è vulnerabile, la richiesta porta all’esecuzione immediata di comandi sul sistema, permettendo installazione di backdoor, tunneling e tool di persistenza.

Prodotti e/o versioni affette

Secure Email Gateway, tutte le versioni
Secure Email and Web Manager, tutte le versioni

N.B. Si evidenzia che i prodotti elencati risultano vulnerabili solo alle condizioni descritte nel bollettino di sicurezza Cisco.

Azioni di mitigazione

Al fine di verificare l’esposizione e mitigare i rischi, in attesa del rilascio di aggiornamenti di sicurezza, si raccomanda di seguire le istruzioni fornite dal vendor alla sezione “Recommendations” del bollettino di sicurezza disponibile al link nella sezione Riferimenti.

Riferimenti

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4

CVE

CVE-ID
CVE-2025-20393

Change log

Versione	Note	Data
1.0	Pubblicato il 18-12-2025	18/12/2025

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

Ultimo aggiornamento

18 Dicembre 2025, 15:31

CSIRT Toscana

CSIRT Toscana