Cisco a publié des mises à jour de sécurité pour corriger une vulnérabilité de déni de service (DoS) ClamAV, qui comporte un code d’exploitation de validation de principe (PoC).
Répertoriée comme CVE-2025-20128, la vulnérabilité est causée par une faiblesse de débordement de tampon basée sur le tas dans la routine de déchiffrement Object Linking and Embedding 2 (OLE2), permettant à des attaquants distants non authentifiés de déclencher une condition DoS sur des périphériques vulnérables.
Si cette vulnérabilité est exploitée avec succès, le processus d’analyse de l’antivirus ClamAV pourrait se bloquer, empêchant ou retardant d’autres opérations d’analyse.
« Un attaquant pourrait exploiter cette vulnérabilité en soumettant un fichier contrefait contenant du contenu OLE2 à analyser par ClamAV sur un périphérique affecté », a expliqué Cisco. « Un exploit réussi pourrait permettre à l’attaquant de mettre fin au processus d’analyse ClamAV, entraînant une condition DoS sur le logiciel affecté. »
Cependant, dans un avis publié aujourd’hui, la société a noté que la stabilité globale du système ne serait pas affectée même après des attaques réussies.
La liste des produits vulnérables comprend le logiciel Secure Endpoint Connector pour les plates-formes Linux, Mac et Windows. Cette solution permet d’ingérer les journaux et les événements d’audit des points de terminaison sécurisés Cisco dans des systèmes de gestion des informations et des événements de sécurité (SIEM) tels que Microsoft Sentinel.
Exploit PoC disponible, aucune exploitation active
Alors que l’Équipe de réponse aux incidents de sécurité des produits Cisco (PSIRT) a déclaré qu’elle n’avait aucune preuve d’exploitation dans la nature, elle a ajouté que le code d’exploitation CVE-2025-20128 était déjà disponible.
« Cisco PSIRT est conscient qu’un code d’exploitation de validation de principe est disponible pour les vulnérabilités décrites dans cet avis », a déclaré Cisco PSIRT.
Aujourd’hui, la société a également corrigé une faille de sécurité Cisco BroadWorks DoS (CVE-2025-20165) et une vulnérabilité d’escalade de privilèges de gravité critique (CVE-2025-20156) dans l’API REST Cisco Meeting Management qui permet aux pirates d’obtenir des privilèges d’administrateur sur les périphériques non corrigés.
En octobre, il a corrigé un autre bogue de sécurité DoS (CVE-2024-20481) dans son logiciel Cisco ASA et Firepower Threat Defense (FTD), découvert lors d’attaques par force brute à grande échelle contre des périphériques VPN Cisco Secure Firewall en avril 2024.
Un mois plus tard, il corrigeait une vulnérabilité de gravité maximale (CVE-2024-20418) qui permettait aux attaquants d’exécuter des commandes avec des privilèges root sur des points d’accès industriels vulnérables de liaison sans fil Ultra-fiables (URWB).