CVE-2025-20137

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-20137
A vulnerability in the access control list (ACL) programming of Cisco IOS Software that is running on Cisco Catalyst 1000 Switches and Cisco Catalyst 2960L Switches could allow an unauthenticated, remote attacker to bypass a configured ACL. This vulnerability is due to the use of both an IPv4 ACL and a dynamic ACL of IP Source Guard on the same interface, which is an unsupported configuration. An attacker could exploit this vulnerability by attempting to send traffic through an affected device. A successful exploit could allow the attacker to bypass an ACL on the affected device. Note: Cisco documentation has been updated to reflect that this is an unsupported configuration. However, Cisco is publishing this advisory because the device will not prevent an administrator from configuring both features on the same interface. There are no plans to implement the ability to configure both features on the same interface on Cisco Catalyst 1000 or Catalyst 2960L Switches.

4.7 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 1.4

Attack Vector ADJACENT_NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact LOW

Availability Impact NONE

Scope CHANGED

References
Link Resource
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipsgacl-pg6qfZk Vendor Advisory
Configurations

Configuration 1 (hide)

AND
OR cpe:2.3:o:cisco:ios:15.2\(5a\)e:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(5b\)e:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(5c\)e:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(6\)e:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(6\)e0c:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(6\)e1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(6\)e2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(6\)e2b:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(6\)e3:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e0a:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e0s:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e1a:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e3:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e3k:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e4:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e5:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e6:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e7:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e8:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e9:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e10:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e11:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e12:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7a\)e0b:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7b\)e0b:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(8\)e:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(8\)e1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(8\)e2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(8\)e3:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(8\)e4:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(8\)e5:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(8\)e6:*:*:*:*:*:*:*
OR cpe:2.3:h:cisco:catalyst_1000-16fp-2g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-16p-2g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-16t-2g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-16t-e-2g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-24fp-4g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-24fp-4x-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-24p-4g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-24p-4x-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-24pp-4g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-24t-4g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-24t-4x-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-48fp-4g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-48fp-4x-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-48p-4g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-48p-4x-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-48pp-4g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-48t-4g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-48t-4x-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-8fp-2g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-8fp-e-2g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-8p-2g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-8p-e-2g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-8t-2g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-8t-e-2g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000fe-24p-4g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000fe-24t-4g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000fe-48p-4g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000fe-48t-4g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_2960l-16ps-ll:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_2960l-16ts-ll:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_2960l-24pq-ll:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_2960l-24ps-ll:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_2960l-24tq-ll:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_2960l-24ts-ll:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_2960l-48pq-ll:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_2960l-48ps-ll:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_2960l-48tq-ll:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_2960l-48ts-ll:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_2960l-8ps-ll:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_2960l-8ts-ll:-:*:*:*:*:*:*:*
History

05 Aug 2025, 14:08

Type Values Removed Values Added
CPE cpe:2.3:o:cisco:ios:15.2\(7\)e0a:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e1a:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(8\)e:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-48fp-4g-l:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(5a\)e:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000fe-24t-4g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-48p-4x-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_2960l-8ps-ll:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e4:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_2960l-24ts-ll:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e7:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_2960l-48pq-ll:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000fe-24p-4g-l:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7a\)e0b:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-48t-4x-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_2960l-48ps-ll:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_2960l-48tq-ll:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(6\)e0c:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000fe-48t-4g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-24p-4g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-48fp-4x-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_2960l-16ts-ll:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(8\)e4:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e10:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-8fp-2g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-8fp-e-2g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-24fp-4x-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-16t-2g-l:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e9:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(8\)e2:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(8\)e3:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(8\)e6:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-8p-2g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_2960l-48ts-ll:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-24pp-4g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_2960l-24tq-ll:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(8\)e1:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_2960l-16ps-ll:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e6:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e3:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(6\)e1:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e0s:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-24t-4g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-8p-e-2g-l:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e8:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-16p-2g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-8t-e-2g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_2960l-24ps-ll:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(5b\)e:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_2960l-24pq-ll:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e12:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-24t-4x-l:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7b\)e0b:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-8t-2g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-24fp-4g-l:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e3k:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-48t-4g-l:-:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-48pp-4g-l:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(6\)e2b:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(6\)e2:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_2960l-8ts-ll:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(8\)e5:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-16t-e-2g-l:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(6\)e3:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000fe-48p-4g-l:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(6\)e:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(5c\)e:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-16fp-2g-l:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e11:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e5:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-48p-4g-l:-:*:*:*:*:*:*:*
cpe:2.3:o:cisco:ios:15.2\(7\)e1:*:*:*:*:*:*:*
cpe:2.3:h:cisco:catalyst_1000-24p-4x-l:-:*:*:*:*:*:*:*
First Time Cisco catalyst 1000-24fp-4g-l
Cisco catalyst 1000-48fp-4g-l
Cisco catalyst 1000-24t-4g-l
Cisco catalyst 2960l-8ps-ll
Cisco catalyst 1000-16p-2g-l
Cisco catalyst 1000-16fp-2g-l
Cisco catalyst 2960l-24ts-ll
Cisco catalyst 1000-16t-2g-l
Cisco catalyst 1000fe-24p-4g-l
Cisco catalyst 1000-24pp-4g-l
Cisco ios
Cisco catalyst 2960l-48ts-ll
Cisco catalyst 1000-48fp-4x-l
Cisco catalyst 1000-24t-4x-l
Cisco
Cisco catalyst 1000-8p-e-2g-l
Cisco catalyst 1000-16t-e-2g-l
Cisco catalyst 2960l-24pq-ll
Cisco catalyst 1000-48t-4x-l
Cisco catalyst 1000-8p-2g-l
Cisco catalyst 1000-48p-4g-l
Cisco catalyst 2960l-24tq-ll
Cisco catalyst 1000-24fp-4x-l
Cisco catalyst 2960l-48tq-ll
Cisco catalyst 2960l-16ps-ll
Cisco catalyst 2960l-8ts-ll
Cisco catalyst 1000-24p-4g-l
Cisco catalyst 1000-24p-4x-l
Cisco catalyst 2960l-48ps-ll
Cisco catalyst 1000fe-24t-4g-l
Cisco catalyst 1000-48pp-4g-l
Cisco catalyst 1000fe-48t-4g-l
Cisco catalyst 2960l-16ts-ll
Cisco catalyst 1000-8t-e-2g-l
Cisco catalyst 1000-8fp-2g-l
Cisco catalyst 1000-8fp-e-2g-l
Cisco catalyst 2960l-24ps-ll
Cisco catalyst 1000-48p-4x-l
Cisco catalyst 1000fe-48p-4g-l
Cisco catalyst 2960l-48pq-ll
Cisco catalyst 1000-8t-2g-l
Cisco catalyst 1000-48t-4g-l
References () https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipsgacl-pg6qfZk - () https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipsgacl-pg6qfZk - Vendor Advisory

08 May 2025, 14:39

Type Values Removed Values Added
Summary
  • (es) Una vulnerabilidad en la programación de la lista de control de acceso (ACL) del software Cisco IOS, que se ejecuta en los switches Cisco Catalyst 1000 y Cisco Catalyst 2960L, podría permitir que un atacante remoto no autenticado omita una ACL configurada. Esta vulnerabilidad se debe al uso de una ACL IPv4 y una ACL dinámica de IP Source Guard en la misma interfaz, una configuración no compatible. Un atacante podría explotar esta vulnerabilidad intentando enviar tráfico a través de un dispositivo afectado. Una explotación exitosa podría permitirle omitir una ACL en el dispositivo afectado. Nota: La documentación de Cisco se ha actualizado para reflejar que esta es una configuración no compatible. Sin embargo, Cisco publica este aviso porque el dispositivo no impedirá que un administrador configure ambas funciones en la misma interfaz. No hay planes para implementar la capacidad de configurar ambas funciones en la misma interfaz en los switches Cisco Catalyst 1000 o Catalyst 2960L.

07 May 2025, 18:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-05-07 18:15

Updated : 2025-08-05 14:08

NVD link : CVE-2025-20137

Mitre link : CVE-2025-20137

CVE.ORG link : CVE-2025-20137

JSON object : View

Products Affected

cisco

  • catalyst_1000-24fp-4x-l
  • catalyst_1000-16t-e-2g-l
  • catalyst_1000-48pp-4g-l
  • ios
  • catalyst_1000fe-24p-4g-l
  • catalyst_2960l-8ts-ll
  • catalyst_1000-24t-4x-l
  • catalyst_2960l-48ps-ll
  • catalyst_1000-16t-2g-l
  • catalyst_1000-24pp-4g-l
  • catalyst_2960l-16ts-ll
  • catalyst_1000-8t-e-2g-l
  • catalyst_1000-24p-4g-l
  • catalyst_2960l-24ts-ll
  • catalyst_2960l-8ps-ll
  • catalyst_1000-8fp-2g-l
  • catalyst_1000-48p-4g-l
  • catalyst_1000-8t-2g-l
  • catalyst_1000fe-24t-4g-l
  • catalyst_1000-16p-2g-l
  • catalyst_1000-8p-e-2g-l
  • catalyst_1000-48fp-4x-l
  • catalyst_2960l-24ps-ll
  • catalyst_1000-48fp-4g-l
  • catalyst_2960l-48tq-ll
  • catalyst_2960l-24pq-ll
  • catalyst_1000-24t-4g-l
  • catalyst_2960l-48ts-ll
  • catalyst_1000-48t-4g-l
  • catalyst_1000-8p-2g-l
  • catalyst_1000-8fp-e-2g-l
  • catalyst_1000-24fp-4g-l
  • catalyst_1000-48t-4x-l
  • catalyst_1000fe-48p-4g-l
  • catalyst_1000-24p-4x-l
  • catalyst_1000-16fp-2g-l
  • catalyst_1000fe-48t-4g-l
  • catalyst_2960l-24tq-ll
  • catalyst_2960l-48pq-ll
  • catalyst_2960l-16ps-ll
  • catalyst_1000-48p-4x-l
CWE
CWE-284

Improper Access Control