Cisco ha publicado actualizaciones de seguridad para abordar una vulnerabilidad de denegación de servicio (DoS) de ClamAV, que tiene un exploit de prueba de concepto (PoC).
Registrada como CVE-2025-20128, la vulnerabilidad es causada por un desbordamiento de buffer basado en montón debilidad en la rutina de descifrado Object Linking and Embedding 2 (OLE2), que permite a atacantes remotos no autenticados desencadenar una condición DoS en dispositivos vulnerables.
Si esta vulnerabilidad se explota con éxito, podría provocar que el proceso de análisis del antivirus ClamAV se bloquee, impidiendo o retrasando futuras operaciones de análisis.
“Un atacante podría aprovechar esta vulnerabilidad enviando un archivo manipulado que contenga contenido OLE2 para que ClamAV lo analice en un dispositivo afectado”. cisco explicado. “Un exploit exitoso podría permitir al atacante finalizar el proceso de escaneo de ClamAV, lo que resultaría en una condición DoS en el software afectado”.
Sin embargo, en un consultivo publicado hoy, la compañía señaló que la estabilidad general del sistema no se vería afectada incluso después de ataques exitosos.
La lista de productos vulnerables incluye el software Secure Endpoint Connector para plataformas Linux, Mac y Windows. Esta solución le permite incorporar registros de auditoría y eventos de Cisco Secure Endpoint en sistemas de gestión de eventos e información de seguridad (SIEM), como Microsoft Sentinel.
Explotación PoC disponible, sin explotación activa
Aunque el Equipo de Respuesta a Incidentes de Seguridad de Productos de Cisco (PSIRT) dijo que no tenía evidencia de explotación en la naturaleza, agregó que el código de explotación CVE-2025-20128 ya estaba disponible.
“El Cisco PSIRT es consciente de que hay disponible un código de explotación de prueba de concepto para las vulnerabilidades descritas en este aviso”, dijo Cisco PSIRT.
Hoy, la compañía también corrigió una falla de seguridad DoS de Cisco BroadWorks (CVE-2025-20165) y una elevación de gravedad crítica de la vulnerabilidad de privilegios (CVE-2025-20156) en la API REST de Cisco Meeting Management que permite a los piratas informáticos obtener privilegios de administrador en dispositivos sin parches.
En octubre, solucionó otro error de seguridad DoS (CVE-2024-20481) en su software Cisco ASA y Firepower Threat Defense (FTD), descubierto durante ataques de fuerza bruta a gran escala contra dispositivos Cisco Secure Firewall VPN en abril de 2024.
Un mes después, solucionó una vulnerabilidad de gravedad máxima (CVE-2024-20418) que permite a los atacantes ejecutar comandos con privilegios de root en puntos de acceso industriales vulnerables de backhaul inalámbrico ultra confiable (URWB).