思科修复 IOS XR 中的10个漏洞

上周，思科修复了IOS XR 中的10个漏洞，其中5个可用于引发拒绝服务 (DoS) 条件。

最严重的DoS 漏洞是高危的CVE-2025-20142和CVE-2025-20146，它们影响 Ipv4 访问控制列表 (ACL) 特性、服务策略质量 (QoS) 以及ASR 9000系列、ASR 9902和ASR 9903路由器的Layer 3多播特性。

在应用了ACL 或QoS 策略的设备上对非法Ipv4 数据包的不正确处理，导致攻击者可发送构造的Ipv4 数据包并引发网络处理器错误、线卡异常或重置，导致DoS。

思科还修复了位于 IKEv2 功能中的多个高危漏洞CVE-2025-20209以及IOS XR中对特定数据包处理不当的漏洞（CVE-2025-20141），均可导致DoS 条件。第五个DoS 漏洞是位于IOS XR 中BGP联合实现中的中危漏洞，它可遭远程利用且无需认证，在2024年9月公开报道。

思科还修复了位于 IOS XR 的CLI 中的高危漏洞，它可导致攻击者以 root 身份执行任意命令，编号为CVE-2025-20138。该漏洞存在的原因是传递给 CLI 的用户参数的验证不足，导致攻击者可将构造的命令用作提示并提升权限。

思科修复的另外两个高危 IOS XR 漏洞可导致具有 root 系统权限的攻击者绕过 Secure Boot 功能（CVE-2025-20143）或镜像签名验证（CVE-2025-20177）以及加载未认证的软件。思科还修复了因对数据包处理不正确引发的两个中危混合ACL绕过漏洞。

思科表示尚未发现这些漏洞遭在野利用的迹象。用户可访问思科的安全公告页面或在该公司3月发布的 IOS XR 安全通告中获取更多信息。