CVE-2025-20127

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-20127
A vulnerability in the TLS 1.3 implementation for a specific cipher for Cisco Secure Firewall Adaptive Security Appliance (ASA) Software and Cisco Secure Firewall Threat Defense (FTD) Software for Cisco Firepower 3100 and 4200 Series devices could allow an authenticated, remote attacker to consume resources that are associated with incoming TLS 1.3 connections, which eventually could cause the device to stop accepting any new SSL/TLS or VPN requests. This vulnerability is due to the implementation of the TLS 1.3 Cipher TLS_CHACHA20_POLY1305_SHA256. An attacker could exploit this vulnerability by sending a large number of TLS 1.3 connections with the specific TLS 1.3 Cipher TLS_CHACHA20_POLY1305_SHA256. A successful exploit could allow the attacker to cause a denial of service (DoS) condition where no new incoming encrypted connections are accepted. The device must be reloaded to clear this condition. Note: These incoming TLS 1.3 connections include both data traffic and user-management traffic. After the device is in the vulnerable state, no new encrypted connections can be accepted.

7.7 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 3.1 / Impact : 4.0

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact NONE

Availability Impact HIGH

Scope CHANGED

References
Link Resource
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-3100_4200_tlsdos-2yNSCd54 Vendor Advisory
Configurations

Configuration 1 (hide)

AND
OR cpe:2.3:a:cisco:firepower_threat_defense:7.4.0:*:*:*:*:*:*:*
cpe:2.3:a:cisco:firepower_threat_defense:7.4.1:*:*:*:*:*:*:*
cpe:2.3:a:cisco:firepower_threat_defense:7.4.1.1:*:*:*:*:*:*:*
cpe:2.3:a:cisco:firepower_threat_defense:7.4.2:*:*:*:*:*:*:*
cpe:2.3:a:cisco:firepower_threat_defense:7.4.2.1:*:*:*:*:*:*:*
cpe:2.3:a:cisco:firepower_threat_defense:7.6.0:*:*:*:*:*:*:*
OR cpe:2.3:h:cisco:secure_firewall_3105:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:secure_firewall_3110:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:secure_firewall_3120:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:secure_firewall_3130:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:secure_firewall_3140:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:secure_firewall_4215:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:secure_firewall_4225:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:secure_firewall_4245:-:*:*:*:*:*:*:*

Configuration 2 (hide)

AND
OR cpe:2.3:o:cisco:adaptive_security_appliance_software:9.20.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:adaptive_security_appliance_software:9.20.1.5:*:*:*:*:*:*:*
cpe:2.3:o:cisco:adaptive_security_appliance_software:9.20.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:adaptive_security_appliance_software:9.20.2.10:*:*:*:*:*:*:*
cpe:2.3:o:cisco:adaptive_security_appliance_software:9.20.2.21:*:*:*:*:*:*:*
cpe:2.3:o:cisco:adaptive_security_appliance_software:9.20.2.22:*:*:*:*:*:*:*
cpe:2.3:o:cisco:adaptive_security_appliance_software:9.20.3:*:*:*:*:*:*:*
cpe:2.3:o:cisco:adaptive_security_appliance_software:9.20.3.4:*:*:*:*:*:*:*
cpe:2.3:o:cisco:adaptive_security_appliance_software:9.20.3.7:*:*:*:*:*:*:*
cpe:2.3:o:cisco:adaptive_security_appliance_software:9.22.1.1:*:*:*:*:*:*:*
OR cpe:2.3:h:cisco:secure_firewall_3105:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:secure_firewall_3110:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:secure_firewall_3120:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:secure_firewall_3130:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:secure_firewall_3140:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:secure_firewall_4215:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:secure_firewall_4225:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:secure_firewall_4245:-:*:*:*:*:*:*:*
History

25 Aug 2025, 14:35

Type Values Removed Values Added
References () https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-3100_4200_tlsdos-2yNSCd54 - () https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-3100_4200_tlsdos-2yNSCd54 - Vendor Advisory
First Time Cisco firepower Threat Defense
Cisco adaptive Security Appliance Software
Cisco secure Firewall 3110
Cisco secure Firewall 4225
Cisco secure Firewall 4215
Cisco secure Firewall 3120
Cisco secure Firewall 3130
Cisco
Cisco secure Firewall 4245
Cisco secure Firewall 3105
Cisco secure Firewall 3140
CPE cpe:2.3:o:cisco:adaptive_security_appliance_software:9.20.2.10:*:*:*:*:*:*:*
cpe:2.3:h:cisco:secure_firewall_3140:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:adaptive_security_appliance_software:9.20.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:adaptive_security_appliance_software:9.20.3.7:*:*:*:*:*:*:*
cpe:2.3:h:cisco:secure_firewall_4215:-:*:*:*:*:*:*:*
cpe:2.3:a:cisco:firepower_threat_defense:7.4.1.1:*:*:*:*:*:*:*
cpe:2.3:a:cisco:firepower_threat_defense:7.4.2.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:adaptive_security_appliance_software:9.20.1.5:*:*:*:*:*:*:*
cpe:2.3:h:cisco:secure_firewall_4245:-:*:*:*:*:*:*:*
cpe:2.3:a:cisco:firepower_threat_defense:7.4.1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:adaptive_security_appliance_software:9.20.2.21:*:*:*:*:*:*:*
cpe:2.3:o:cisco:adaptive_security_appliance_software:9.20.2.22:*:*:*:*:*:*:*
cpe:2.3:o:cisco:adaptive_security_appliance_software:9.20.3.4:*:*:*:*:*:*:*
cpe:2.3:o:cisco:adaptive_security_appliance_software:9.22.1.1:*:*:*:*:*:*:*
cpe:2.3:h:cisco:secure_firewall_3130:-:*:*:*:*:*:*:*
cpe:2.3:a:cisco:firepower_threat_defense:7.4.2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:adaptive_security_appliance_software:9.20.3:*:*:*:*:*:*:*
cpe:2.3:h:cisco:secure_firewall_4225:-:*:*:*:*:*:*:*
cpe:2.3:a:cisco:firepower_threat_defense:7.6.0:*:*:*:*:*:*:*
cpe:2.3:h:cisco:secure_firewall_3120:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:secure_firewall_3110:-:*:*:*:*:*:*:*
cpe:2.3:a:cisco:firepower_threat_defense:7.4.0:*:*:*:*:*:*:*
cpe:2.3:h:cisco:secure_firewall_3105:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:adaptive_security_appliance_software:9.20.1:*:*:*:*:*:*:*
Summary
  • (es) Una vulnerabilidad en la implementación de TLS 1.3 para un cifrado específico del software Cisco Secure Firewall Adaptive Security Appliance (ASA) y del software Cisco Secure Firewall Threat Defense (FTD) para dispositivos Cisco Firepower de las series 3100 y 4200 podría permitir que un atacante remoto autenticado consuma recursos asociados con conexiones entrantes TLS 1.3, lo que eventualmente podría provocar que el dispositivo deje de aceptar nuevas solicitudes SSL/TLS o VPN. Esta vulnerabilidad se debe a la implementación del cifrado TLS_CHACHA20_POLY1305_SHA256 de TLS 1.3. Un atacante podría explotar esta vulnerabilidad enviando un gran número de conexiones TLS 1.3 con el cifrado TLS_CHACHA20_POLY1305_SHA256. Una explotación exitosa podría permitir al atacante causar una denegación de servicio (DoS) donde no se aceptan nuevas conexiones cifradas entrantes. El dispositivo debe reiniciarse para solucionar esta situación. Nota: Estas conexiones entrantes TLS 1.3 incluyen tanto tráfico de datos como de administración de usuarios. Una vez que el dispositivo se encuentra en estado vulnerable, no se pueden aceptar nuevas conexiones cifradas.

14 Aug 2025, 17:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-08-14 17:15

Updated : 2025-08-25 14:35

NVD link : CVE-2025-20127

Mitre link : CVE-2025-20127

CVE.ORG link : CVE-2025-20127

JSON object : View

Products Affected

cisco

  • secure_firewall_3120
  • secure_firewall_4225
  • firepower_threat_defense
  • secure_firewall_3105
  • adaptive_security_appliance_software
  • secure_firewall_3130
  • secure_firewall_3140
  • secure_firewall_4245
  • secure_firewall_3110
  • secure_firewall_4215
CWE
CWE-404

Improper Resource Shutdown or Release