CVE-2025-20145

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-20145
A vulnerability in the access control list (ACL) processing in the egress direction of Cisco IOS XR Software could allow an unauthenticated, remote attacker to bypass a configured ACL. This vulnerability exists because certain packets are handled incorrectly when they are received on an ingress interface on one line card and destined out of an egress interface on another line card where the egress ACL is configured. An attacker could exploit this vulnerability by attempting to send traffic through an affected device. A successful exploit could allow the attacker to bypass an egress ACL on the affected device. For more information about this vulnerability, see the section of this advisory. Cisco has released software updates that address this vulnerability. There are no workarounds that address this vulnerability.

5.8 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 1.4

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact LOW

Availability Impact NONE

Scope CHANGED

References
Link Resource
https://blog.apnic.net/2024/09/02/crafting-endless-as-paths-in-bgp/ Not Applicable
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-modular-ACL-u5MEPXMm Vendor Advisory
Configurations

Configuration 1 (hide)

AND
OR cpe:2.3:o:cisco:ios_xr:6.5.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:6.5.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:6.5.3:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:6.5.92:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:6.5.93:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:6.6.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:6.6.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:6.6.3:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:6.6.4:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:6.6.25:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.0.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.0.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.0.11:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.0.12:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.0.14:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.0.90:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.1.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.1.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.2.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.2.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.2.12:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.3.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.3.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.3.3:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.3.4:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.3.5:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.3.6:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.3.15:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.3.16:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.4.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.4.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.5.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.5.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.5.3:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.5.4:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.5.5:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.5.12:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.6.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.6.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.7.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.7.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.7.21:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.8.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.8.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.8.22:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.9.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.9.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.10.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.10.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.11.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.11.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.11.21:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:24.1.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:24.1.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:24.2.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:24.2.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:24.2.11:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:24.2.20:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:24.3.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:24.3.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:24.4.1:*:*:*:*:*:*:*
OR cpe:2.3:h:cisco:8608:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:8804:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:8808:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:8812:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:8818:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:ncs_5504:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:ncs_5508:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:ncs_5516:-:*:*:*:*:*:*:*
History

01 Aug 2025, 18:48

Type Values Removed Values Added
First Time Cisco 8812
Cisco
Cisco ncs 5516
Cisco 8808
Cisco 8818
Cisco ncs 5508
Cisco 8608
Cisco 8804
Cisco ios Xr
Cisco ncs 5504
CPE cpe:2.3:o:cisco:ios_xr:7.11.21:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:24.4.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.0.14:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.10.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:6.6.25:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.0.12:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.2.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.3.4:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:24.2.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:6.6.4:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:24.3.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.9.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.6.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.11.2:*:*:*:*:*:*:*
cpe:2.3:h:cisco:8608:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.5.12:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.0.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.7.21:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.7.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.8.22:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.5.2:*:*:*:*:*:*:*
cpe:2.3:h:cisco:8804:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.4.2:*:*:*:*:*:*:*
cpe:2.3:h:cisco:ncs_5508:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.3.3:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.8.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:6.5.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.9.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:6.5.2:*:*:*:*:*:*:*
cpe:2.3:h:cisco:8812:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.1.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:6.6.3:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.11.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:24.1.1:*:*:*:*:*:*:*
cpe:2.3:h:cisco:8808:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.3.16:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.4.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:24.3.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.7.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.5.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.3.5:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.5.5:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.0.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:24.2.20:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.5.4:*:*:*:*:*:*:*
cpe:2.3:h:cisco:8818:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.2.12:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.0.90:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:6.6.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:6.5.92:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.6.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:6.5.93:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.5.3:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:24.2.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:24.1.2:*:*:*:*:*:*:*
cpe:2.3:h:cisco:ncs_5516:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.8.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:6.5.3:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:24.2.11:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.1.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:6.6.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.0.11:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.3.15:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.2.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.3.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.3.2:*:*:*:*:*:*:*
cpe:2.3:h:cisco:ncs_5504:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.10.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios_xr:7.3.6:*:*:*:*:*:*:*
References () https://blog.apnic.net/2024/09/02/crafting-endless-as-paths-in-bgp/ - () https://blog.apnic.net/2024/09/02/crafting-endless-as-paths-in-bgp/ - Not Applicable
References () https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-modular-ACL-u5MEPXMm - () https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-modular-ACL-u5MEPXMm - Vendor Advisory
Summary
  • (es) Una vulnerabilidad en el procesamiento de la lista de control de acceso (ACL) en la dirección de salida del software Cisco IOS XR podría permitir que un atacante remoto no autenticado omita una ACL configurada. Esta vulnerabilidad existe porque ciertos paquetes se gestionan incorrectamente cuando se reciben en una interfaz de entrada de una tarjeta de línea y se dirigen a una interfaz de salida de otra tarjeta de línea donde está configurada la ACL de salida. Un atacante podría explotar esta vulnerabilidad intentando enviar tráfico a través de un dispositivo afectado. Una explotación exitosa podría permitir al atacante omitir una ACL de salida en el dispositivo afectado. Para obtener más información sobre esta vulnerabilidad, consulte la sección de este aviso. Cisco ha publicado actualizaciones de software que solucionan esta vulnerabilidad. No existen workarounds que la solucionen.

12 Mar 2025, 16:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-03-12 16:15

Updated : 2025-08-01 18:48

NVD link : CVE-2025-20145

Mitre link : CVE-2025-20145

CVE.ORG link : CVE-2025-20145

JSON object : View

Products Affected

cisco

  • 8804
  • 8818
  • 8812
  • ncs_5516
  • ios_xr
  • ncs_5504
  • 8808
  • 8608
  • ncs_5508
CWE
CWE-264

Permissions, Privileges, and Access Controls