Overview
A Cisco divulgou a vulnerabilidade CVE-2025-20341 (CVSS 8.8) no Cisco Catalyst Center Virtual Appliance executado em VMware ESXi, que permite a um atacante autenticado remoto escalar privilégios para Administrador. A falha decorre da validação insuficiente de entrada fornecida pelo usuário através de requisições HTTP, permitindo que invasores com credenciais básicas enviem requisições maliciosas para elevar seus privilégios no sistema.
A exploração bem-sucedida permite que um atacante com credenciais de nível Observer, função normalmente concedida para visualização de informações do sistema, execute modificações não autorizadas incluindo criação de novas contas de usuário e elevação de seus próprios privilégios para Administrador. Com acesso administrativo, o invasor obtém controle total sobre a gestão e monitoramento da infraestrutura de rede, podendo modificar configurações críticas, comprometer a segurança do ambiente e executar ações privilegiadas que afetam toda a rede corporativa.
A Cisco confirmou que a vulnerabilidade foi identificada durante trabalho com o Technical Assistance Center (TAC) e não há evidências de exploração pública até o momento. A empresa recomenda atualização imediata para a versão corrigida 2.3.7.10-VA, enfatizando que não existem workarounds disponíveis para mitigação temporária. Appliances de hardware e appliances virtuais em AWS não são afetados por esta vulnerabilidade.
Produtos Afetados
| CVE | Severidade | Produto Afetado |
|---|---|---|
| CVE-2025-20341 | Alta | Cisco Catalyst Center Virtual Appliance em VMware ESXi versões 2.3.7.3-VA e posteriores |
Nota: Appliances de hardware do Catalyst Center e Virtual Appliances em Amazon Web Services (AWS) não são afetados.
Recomendações
A SEK recomenda as seguintes ações para organizações que utilizam Cisco Catalyst Center Virtual Appliance em VMware ESXi:
- Atualizar imediatamente o Cisco Catalyst Center Virtual Appliance para a versão corrigida 2.3.7.10-VA, disponível no portal de suporte da Cisco
- Realizar auditoria completa de logs de acesso e criação de contas de usuário nos últimos 30 dias para identificar possíveis tentativas de exploração
- Revisar todas as contas de usuário existentes e suas permissões, removendo privilégios desnecessários e contas obsoletas
- Implementar princípio de privilégio mínimo, garantindo que usuários tenham apenas as permissões estritamente necessárias para suas funções
- Estabelecer monitoramento contínuo de elevações de privilégios e criação de contas administrativas com alertas em tempo real
- Restringir acesso à interface de gerenciamento do Catalyst Center apenas a redes confiáveis através de segmentação de rede e controles de firewall
- Implementar autenticação multifator (MFA) para todas as contas com acesso ao Catalyst Center, especialmente contas privilegiadas
Fontes
Overview
Cisco disclosed vulnerability CVE-2025-20341 (CVSS 8.8) in Cisco Catalyst Center Virtual Appliance running on VMware ESXi, which allows an authenticated remote attacker to escalate privileges to Administrator. The flaw results from insufficient validation of user-supplied input through HTTP requests, enabling attackers with basic credentials to send malicious requests to elevate their privileges on the system.
Successful exploitation allows an attacker with Observer-level credentials, a role typically granted for viewing system information, to perform unauthorized modifications including creating new user accounts and elevating their own privileges to Administrator. With administrative access, the attacker gains full control over network infrastructure management and monitoring, being able to modify critical configurations, compromise environment security, and execute privileged actions that affect the entire corporate network.
Cisco confirmed that the vulnerability was identified during work with the Technical Assistance Center (TAC) and there is no evidence of public exploitation to date. The company recommends immediate update to the fixed version 2.3.7.10-VA, emphasizing that no workarounds are available for temporary mitigation. Hardware appliances and virtual appliances on AWS are not affected by this vulnerability.
Affected Products
| CVE | Severity | Affected Product |
|---|---|---|
| CVE-2025-20341 | High | Cisco Catalyst Center Virtual Appliance on VMware ESXi versions 2.3.7.3-VA and later |
Note: Catalyst Center hardware appliances and Virtual Appliances on Amazon Web Services (AWS) are not affected.
Recommendations
SEK recommends the following actions for organizations using Cisco Catalyst Center Virtual Appliance on VMware ESXi:
- Immediately update Cisco Catalyst Center Virtual Appliance to the fixed version 2.3.7.10-VA, available on Cisco's support portal
- Perform a complete audit of access logs and user account creation over the past 30 days to identify possible exploitation attempts
- Review all existing user accounts and their permissions, removing unnecessary privileges and obsolete accounts
- Implement the principle of least privilege, ensuring that users have only the permissions strictly necessary for their functions
- Establish continuous monitoring of privilege escalations and administrative account creation with real-time alerts
- Restrict access to the Catalyst Center management interface only to trusted networks through network segmentation and firewall controls
- Implement multi-factor authentication (MFA) for all accounts with access to Catalyst Center, especially privileged accounts
Sources
Overview
Cisco divulgó la vulnerabilidad CVE-2025-20341 (CVSS 8.8) en Cisco Catalyst Center Virtual Appliance ejecutado en VMware ESXi, que permite a un atacante remoto autenticado escalar privilegios a Administrador. La falla se debe a la validación insuficiente de la entrada proporcionada por el usuario a través de solicitudes HTTP, lo que permite a los atacantes con credenciales básicas enviar solicitudes maliciosas para elevar sus privilegios en el sistema.
La explotación exitosa permite que un atacante con credenciales de nivel Observer, función normalmente otorgada para visualización de información del sistema, ejecute modificaciones no autorizadas incluyendo la creación de nuevas cuentas de usuario y elevación de sus propios privilegios a Administrador. Con acceso administrativo, el atacante obtiene control total sobre la gestión y monitoreo de la infraestructura de red, pudiendo modificar configuraciones críticas, comprometer la seguridad del entorno y ejecutar acciones privilegiadas que afectan toda la red corporativa.
Cisco confirmó que la vulnerabilidad fue identificada durante trabajo con el Technical Assistance Center (TAC) y no hay evidencia de explotación pública hasta el momento. La empresa recomienda actualización inmediata a la versión corregida 2.3.7.10-VA, enfatizando que no existen workarounds disponibles para mitigación temporal. Los appliances de hardware y appliances virtuales en AWS no están afectados por esta vulnerabilidad.
Productos Afectados
| CVE | Severidad | Producto Afectado |
|---|---|---|
| CVE-2025-20341 | Alta | Cisco Catalyst Center Virtual Appliance en VMware ESXi versiones 2.3.7.3-VA y posteriores |
Nota: Los appliances de hardware del Catalyst Center y Virtual Appliances en Amazon Web Services (AWS) no están afectados.
Recomendaciones
SEK recomienda las siguientes acciones para organizaciones que utilizan Cisco Catalyst Center Virtual Appliance en VMware ESXi:
- Actualizar inmediatamente Cisco Catalyst Center Virtual Appliance a la versión corregida 2.3.7.10-VA, disponible en el portal de soporte de Cisco
- Realizar auditoría completa de logs de acceso y creación de cuentas de usuario en los últimos 30 días para identificar posibles intentos de explotación
- Revisar todas las cuentas de usuario existentes y sus permisos, eliminando privilegios innecesarios y cuentas obsoletas
- Implementar el principio de privilegio mínimo, garantizando que los usuarios tengan solo los permisos estrictamente necesarios para sus funciones
- Establecer monitoreo continuo de elevaciones de privilegios y creación de cuentas administrativas con alertas en tiempo real
- Restringir el acceso a la interfaz de gestión del Catalyst Center solo a redes confiables a través de segmentación de red y controles de firewall
- Implementar autenticación multifactor (MFA) para todas las cuentas con acceso al Catalyst Center, especialmente cuentas privilegiadas
Fuentes
Central de Conteúdos SEK
Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.
Acessar Central de ConteúdosSEK Content Hub
Access our content hub and check out the latest reports and news on cybersecurity.
Access Content HubCentral de Contenidos SEK
Accede a nuestra central de contenidos y consulta los informes y noticias más recientes sobre ciberseguridad.
Acceder a la Central de Contenidos