- شناسه CVE-2025-20179 :CVE
- CWE-79 :CWE
- yes :Advisory
- منتشر شده: فوریه 5, 2025
- به روز شده: فوریه 5, 2025
- امتیاز: 6.1
- نوع حمله: Cross Site Scripting (XSS)
- اثر گذاری: Command Execution
- حوزه: تجهیزات شبکه و امنیت
- برند: Cisco
- محصول: Cisco Expressway Series
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
CVE-2025-20179، یک آسیب پذیری با شدت متوسط در Cisco VCS Expressway است . آسیب پذیری بر روی بخشی از فرآیند پردازش کامپوننت Web-based Management Interface اثر می گذارد. این آسیب پذیری می تواند به حمله Cross-site Scripting منجر شود. حمله می تواند از راه دور راه اندازی شود. بروزرسانی نرم افزار احتمال قرار گیری در معرض این آسیب پذیری را از بین می برد.
توضیحات
آسیب پذیری در اینترفیس مدیریتی مبتنی بر وب سری Cisco Expresswayوجود دارد که به مهاجم احراز هویت نشده این امکان را می دهد از راه دور حمله Cross-site Scripting(XSS) را روی اینترفیس کاربر اجرا کند.
این آسیب پذیری به دلیل اعتبارسنجی نامناسب داده های ورودی کاربر در اینترفیس مدیریتی مبتنی بر وب این دستگاه است. مهاجم با تشویق کاربر به کلیک کردن بر روی یک لینک دست کاری شده می تواند از این آسیب پذیری بهره ببرد. در نتیجه یک اکسپلویت موفق مهاجم می تواند کد های دلخواه خود را در در قالب اینترفیس آلوده شده اجرا کرده یا به اطلاعات حساس مبتنی بر مرورگر کاربر دست یابد .
توجه: سری Cisco Expressway به دستگاه های Cisco Expressway Control (Expressway-C) و Cisco Expressway Edge (Expressway-E) اشاره دارد .
سیستم امتیاز دهی آسیب پذیری ها بر اساس استاندارد های تحقیقاتی حوزه نمره دهی به آسیب پذیری ها، امتیازات زیر را برای شدت اثرگذاری این آسیب پذیری در نظر گرفته است.
CVSS
| Score | Severity | Version | Vector String |
| 6.1 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
در زمان انتشار این اعلامیه های نسخه های مجازی و سخت افزاری Cisco Expressway Control (Expressway-C) و Cisco Expressway Edge (Expressway-E) ، فارغ از تنظیماتشان در معرض این آسیب پذیری قرار دارند.
لیست محصولات بروز شده
توصیه شده است که کاربران نسخه فعلی خود را به یکی از نسخه های نامبرده در جدول ارتقا دهند تا از قرار گرفتن در معرض این تهدید اجتناب کنند.
| Cisco Expressway Series Release | First Fixed Release |
| 14 and earlier | به یک نسخه اصلاح شده ارتقا دهید. |
| 15 | 15.2.2 |
نتیجه گیری
آسیب پذیری فوق در دسته آسیب پذیری های سطح متوسط دسته بندی می شود. توصیه شده نسبت به ارتقای نسخه فعلی به نسخه های بالاتر اقدام کنید تا در معرض این آسیب پذیری قرار نگیرند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-20179
- https://www.cvedetails.com/cve/CVE-2025-20179/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-xss-uexUZrEW
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-20179&sortby=bydate
- https://vuldb.com/?id.294742
- https://cwe.mitre.org/data/definitions/79.html
