網路設備大廠思科（Cisco）本周發布安全公告，警告設備軟體IOS及IOS XE一項之前未知的漏洞已遭到濫用，可造成阻斷服務（DoS）或是在受害裝置執行程式碼。

遭到攻擊的漏洞編號CVE-2025-20352，它是位於Cisco IOS及IOS XE軟體的簡單網路管理協定（Simple Network Management Protocol，SNMP）子系統。攻擊者可以由IPv4或IPv6網路傳送惡意SNMP封包來濫用漏洞。CVE-2025-20352風險值為7.7，屬高風險。

濫用本項漏洞可能有二種後果。經過驗證但權限不高的遠端攻擊者可能在執行Cisco IOS或IOS XE的系統引發不斷重下載、導致阻斷服務（DoS）。但攻擊者必須具備SNMPv2c或更舊版本的唯讀社群字串（ community string），或有效的SNMPv3用戶憑證才能和裝置互動。

若經驗證的遠端攻擊者具備高權限，濫用漏洞則可使其以root用戶身份在系統執行程式碼，並取得完整控制權。但攻擊者必須具備SNMPv1或v2c唯讀社群字串（community string），或有效的SNMPv3用戶憑證，以及裝置的管理員或privilege 15憑證。

思科產品安全事件回應小組（Product Security Incident Response Team，PSIRT）已獲報濫用情形。攻擊者可能是經由其他手法取得了本地管理員憑證，再以此濫用本漏洞。

思科已經發布軟體更新修補漏洞。本漏洞沒有暫時解法，思科呼籲用戶應儘速安裝更新版軟體。

受影響的產品除了IOS及IOS XE軟體外，還包括執行Meraki CS 17以前版本的Meraki MS390和Cisco Catalyst 9300 Series交換器。這些產品應更新到Cisco IOS XE Software Release 17.15.4a。IOS XR Software及NX-OS Software則不受影響。