Cisco meldet hoch riskante Sicherheitslücken in den Meraki-MX- und Z-Produktfamilien, die bei internen Tests entdeckt wurden. Betroffen ist die VPN-Software Anyconnect. Die VPN-Lücke CVE-2025-20212 birgt mit einem CVCSS Score von 7.7 ein hohes Risiko, wie
Cisco in einem Security Advisory festhält. Authentifizierte Remote-User könnten demnach auf den betroffenen Geräten einen Denial-of-Service-Zustand in Anyconnect erzeugen. Die Schwachstelle beruht darauf, dass beim Aufbau einer SSL-VPN-Session eine Variable nicht initialisiert wird und bewirkt im Fall eines Angriffs, dass der Anyconnect-VPN-Server neu startet. Dauert der Angriff an, sind keine neuen VPN-Verbindungen mehr möglich.
Cisco listet in der Mitteilung 24 Meraki-Geräte der Serien MX und Z auf, sowie die Lösung vMX. Betroffen sind Geräte mit Firmware 16.2 und neuer; bei den Modellen MX64 und MX 65 ist die Rede von der Firmware-Version 17.6 und neuer. Für alle betroffenen Geräte sind aktualisierte Firmware-Versionen verfügbar.
Eine weitere DOS-Schwachstelle (CVE-2025-20139, CVSS Score 7.5) betrifft
laut einer anderen Sicherheitswarnung die Lösung Enterprise Chat and Email (ECE). Dieses Leck geht auf eine mangelhafte Prüfung von User-Input an Chat Entry Points zurück. Auch dafür hat Cisco ein Sicherheits-Update bereitgestellt.
(ubi)
