Multiples vulnérabilités dans Cisco IOS XR

Risques

Contournement de la politique de sécurité
Déni de service à distance
Élévation de privilèges

Systèmes affectés

IOS XR Software versions 24.3.x antérieures à 24.3.2
IOS XR Software versions 24.4.x antérieures à 24.4.1
IOS XR Software versions 24.x antérieures à 24.2.2
IOS XR Software versions 7.x antérieures à 7.11.21

L'éditeur indique que pour les versions 24.x, la mise à jour 24.2.21 corrigera les vulnérabilités CVE-2025-20138 et CVE-2025-20146,

Résumé

De multiples vulnérabilités ont été découvertes dans Cisco IOS XR. Elles permettent à un attaquant de provoquer une élévation de privilèges, un déni de service à distance et un contournement de la politique de sécurité.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Cisco cisco-sa-ios-xr-verii-bypass-HhPwQRvx du 12 mars 2025

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-xr-verii-bypass-HhPwQRvx

Bulletin de sécurité Cisco cisco-sa-iosxr-priv-esc-GFQjxvOF du 12 mars 2025

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-priv-esc-GFQjxvOF

Bulletin de sécurité Cisco cisco-sa-ipv4uni-LfM3cfBu du 12 mars 2025

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipv4uni-LfM3cfBu

Bulletin de sécurité Cisco cisco-sa-multicast-ERMrSvq7 du 12 mars 2025

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-multicast-ERMrSvq7

Bulletin de sécurité Cisco cisco-sa-sb-lkm-zNErZjbZ du 12 mars 2025

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-lkm-zNErZjbZ

Bulletin de sécurité Cisco cisco-sa-xr792-bWfVDPY du 12 mars 2025

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-xr792-bWfVDPY

Bulletin de sécurité Cisco cisco-sa-xrike-9wYGpRGq du 12 mars 2025

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-xrike-9wYGpRGq

Référence CVE CVE-2025-20138

https://www.cve.org/CVERecord?id=CVE-2025-20138

Référence CVE CVE-2025-20141

https://www.cve.org/CVERecord?id=CVE-2025-20141

Référence CVE CVE-2025-20142

https://www.cve.org/CVERecord?id=CVE-2025-20142

Référence CVE CVE-2025-20143

https://www.cve.org/CVERecord?id=CVE-2025-20143

Référence CVE CVE-2025-20146

https://www.cve.org/CVERecord?id=CVE-2025-20146

Référence CVE CVE-2025-20177

https://www.cve.org/CVERecord?id=CVE-2025-20177

Référence CVE CVE-2025-20209

https://www.cve.org/CVERecord?id=CVE-2025-20209

Référence	CERTFR-2025-AVI-0207
Titre	Multiples vulnérabilités dans Cisco IOS XR
Date de la première version	13 mars 2025
Date de la dernière version	13 mars 2025
Source(s)	Bulletin de sécurité Cisco cisco-sa-ios-xr-verii-bypass-HhPwQRvx du 12 mars 2025 Bulletin de sécurité Cisco cisco-sa-iosxr-priv-esc-GFQjxvOF du 12 mars 2025 Bulletin de sécurité Cisco cisco-sa-ipv4uni-LfM3cfBu du 12 mars 2025 Bulletin de sécurité Cisco cisco-sa-multicast-ERMrSvq7 du 12 mars 2025 Bulletin de sécurité Cisco cisco-sa-sb-lkm-zNErZjbZ du 12 mars 2025 Bulletin de sécurité Cisco cisco-sa-xr792-bWfVDPY du 12 mars 2025 Bulletin de sécurité Cisco cisco-sa-xrike-9wYGpRGq du 12 mars 2025

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Cisco IOS XR

Gestion du document

Risques

Systèmes affectés

Résumé

Solutions

Documentation

Gestion détaillée du document