Résumé
Le 17 décembre 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans plusieurs produits Cisco, incluant Cisco Secure Email Gateway, Secure Email, AsyncOS Software et les appliances Web Manager.
Référencée sous CVE-2025-20393, cette faille résulte d’une validation incorrecte des entrées, permettant à un attaquant distant d’exécuter des commandes arbitraires avec privilèges root sur le système d’exploitation sous-jacent des appliances affectées.
Solutions
Appliquez les mesures de mitigation fournies par Cisco.
La faille est activement exploitée : oui
Détails techniques
Score CVSS : 10.0
EPSS : non spécifié
Risques : Exécution de code arbitraire
Systèmes affectés
Produits et versions concernées (versions vulnérables)
- Cisco Secure Email :
13.0.0-392, 13.0.5-007, 13.5.1-277, 13.5.4-038, 14.0.0-698, 14.2.0-620, 14.2.1-020, 14.3.0-032, 15.0.0-104, 15.0.1-030, 15.0.3-002, 15.5.0-048, 15.5.1-055, 15.5.2-018, 15.5.3-022, 16.0.0-050, 16.0.0-054, 16.0.1-017.
- Cisco Secure Email and Web Manager :
12.8.1-002, 12.8.1-021, 13.0.0-249, 13.0.0-277, 13.6.1-201, 13.6.2-023, 13.6.2-078, 13.8.1-052, 13.8.1-068, 13.8.1-074, 13.8.1-108, 14.0.0-404, 14.1.0-227, 14.2.0-203, 14.2.0-212, 14.2.0-224, 14.3.0-120, 15.0.0-334, 15.0.1-035, 15.5.1-024, 15.5.1-029, 15.5.2-005, 15.5.3-017, 16.0.0-195, 16.0.1-010, 16.0.2-088.
Documentation
- Bulletin de sécurité de CISCO
- Détails NIST CVE
https://nvd.nist.gov/vuln/detail/CVE-2025-20393
- CVE Details
https://www.cvedetails.com/cve/CVE-2025-20393/
- CWE :
https://www.cvedetails.com/cwe-details/20/Improper-Input-Validation.html