CVE-2025-20275

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-20275
A vulnerability in the file opening process of Cisco Unified Contact Center Express (Unified CCX) Editor could allow an unauthenticated attacker to execute arbitrary code on an affected device.  This vulnerability is due to insecure deserialization of Java objects by the affected software. An attacker could exploit this vulnerability by persuading an authenticated, local user to open a crafted .aef file. A successful exploit could allow the attacker to execute arbitrary code on the host that is running the editor application with the privileges of the user who launched it.

5.3 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 1.8 / Impact : 3.4

Attack Vector LOCAL

Attack Complexity LOW

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact LOW

Integrity Impact LOW

Availability Impact LOW

Scope UNCHANGED

References
Link Resource
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uccx-editor-rce-ezyYZte8
Configurations

No configuration.

History

05 Jun 2025, 20:12

Type Values Removed Values Added
Summary
  • (es) Una vulnerabilidad en el proceso de apertura de archivos del editor de Cisco Unified Contact Center Express (Unified CCX) podría permitir que un atacante no autenticado ejecute código arbitrario en un dispositivo afectado. Esta vulnerabilidad se debe a la deserialización insegura de objetos Java por parte del software afectado. Un atacante podría explotar esta vulnerabilidad persuadiendo a un usuario local autenticado para que abra un archivo .aef manipulado. Una explotación exitosa podría permitir al atacante ejecutar código arbitrario en el host que ejecuta la aplicación del editor con los privilegios del usuario que la inició.

04 Jun 2025, 17:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-06-04 17:15

Updated : 2025-06-05 20:12

NVD link : CVE-2025-20275

Mitre link : CVE-2025-20275

CVE.ORG link : CVE-2025-20275

JSON object : View

Products Affected

No product.

CWE
CWE-502

Deserialization of Untrusted Data