Kritisk nolldagssårbarhet i Cisco AsyncOS

Cisco har publicerat information om en kritisk nolldagssårbarhet i Cisco AsyncOS som exploateras av hotaktörer [1]. Sårbarheten (CVE-2025-20393) har fått CVSS-klassificering 10.0 (CVSS v.3.1) av Cisco [2] och berör installationer av Cisco Secure E-mail Gateway och Cisco Secure Email and Web Manager där funktionen för SPAM-karantän är aktiverad och exponerad mot internet.

Det finns i nuläget ingen säkerhetsuppdatering tillgänglig utan endast rekommenderade åtgärder för att mitigera sårbarheten. [1]

Påverkade produkter

• Cisco AsyncOS (samtliga versioner)
• Cisco Secure E-mail Gateway i fysisk och virtuell installation
• Cisco Secure Email and Web Manager i fysisk och virtuell installation

Rekommendationer

CERT-SE rekommenderar att så snart som möjligt undersöka egna system samt att mitigera sårbarheten genom att följa de åtgärdssteg som leverantören beskriver. [1]

Källor

[1] http://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4

[2] https://nvd.nist.gov/vuln/detail/CVE-2025-20393