CVE-2025-20221 - Vulnerability Details

A vulnerability in the packet filtering features of Cisco IOS XE SD-WAN Software could allow an unauthenticated, remote attacker to bypass Layer 3 and Layer 4 traffic filters. This vulnerability is due to improper traffic filtering conditions on an affected device. An attacker could exploit this vulnerability by sending a crafted packet to the affected device. A successful exploit could allow the attacker to bypass the Layer 3 and Layer 4 traffic filters and inject a crafted packet into the network.

No CVSS v4.0

Attack Vector Network

Attack Complexity Low

Privileges Required None

Scope Unchanged

Confidentiality Impact Low

Integrity Impact None

Availability Impact None

User Interaction None

No CVSS v3.0

No CVSS v2

This CVE is not in the KEV list.

Exploitation none

Automatable yes

Technical Impact total

Vendors	Products
Cisco	Ios Xe

Configuration 1 [-]

OR	cpe:2.3:o:cisco:ios_xe:16.12.13:::::::*
	cpe:2.3:o:cisco:ios_xe:17.1.1:::::::*
	cpe:2.3:o:cisco:ios_xe:17.1.1s:::::::*
	cpe:2.3:o:cisco:ios_xe:17.1.1t:::::::*
	cpe:2.3:o:cisco:ios_xe:17.1.3:::::::*
	cpe:2.3:o:cisco:ios_xe:17.2.1:::::::*
	cpe:2.3:o:cisco:ios_xe:17.2.1a:::::::*
	cpe:2.3:o:cisco:ios_xe:17.2.1r:::::::*
	cpe:2.3:o:cisco:ios_xe:17.2.1v:::::::*
	cpe:2.3:o:cisco:ios_xe:17.2.2:::::::*
	cpe:2.3:o:cisco:ios_xe:17.2.3:::::::*
	cpe:2.3:o:cisco:ios_xe:17.3.1:::::::*
	cpe:2.3:o:cisco:ios_xe:17.3.1a:::::::*
	cpe:2.3:o:cisco:ios_xe:17.3.2:::::::*
	cpe:2.3:o:cisco:ios_xe:17.3.2a:::::::*
	cpe:2.3:o:cisco:ios_xe:17.3.3:::::::*
	cpe:2.3:o:cisco:ios_xe:17.3.4:::::::*
	cpe:2.3:o:cisco:ios_xe:17.3.4a:::::::*
	cpe:2.3:o:cisco:ios_xe:17.3.5:::::::*
	cpe:2.3:o:cisco:ios_xe:17.3.6:::::::*
	cpe:2.3:o:cisco:ios_xe:17.3.7:::::::*
	cpe:2.3:o:cisco:ios_xe:17.3.8:::::::*
	cpe:2.3:o:cisco:ios_xe:17.3.8a:::::::*
	cpe:2.3:o:cisco:ios_xe:17.4.1:::::::*
	cpe:2.3:o:cisco:ios_xe:17.4.1a:::::::*
	cpe:2.3:o:cisco:ios_xe:17.4.1b:::::::*
	cpe:2.3:o:cisco:ios_xe:17.4.2:::::::*
	cpe:2.3:o:cisco:ios_xe:17.5.1:::::::*
	cpe:2.3:o:cisco:ios_xe:17.5.1a:::::::*
	cpe:2.3:o:cisco:ios_xe:17.6.1:::::::*
	cpe:2.3:o:cisco:ios_xe:17.6.1a:::::::*
	cpe:2.3:o:cisco:ios_xe:17.6.1y:::::::*
	cpe:2.3:o:cisco:ios_xe:17.6.2:::::::*
	cpe:2.3:o:cisco:ios_xe:17.6.3:::::::*
	cpe:2.3:o:cisco:ios_xe:17.6.3a:::::::*
	cpe:2.3:o:cisco:ios_xe:17.6.4:::::::*
	cpe:2.3:o:cisco:ios_xe:17.6.5:::::::*
	cpe:2.3:o:cisco:ios_xe:17.6.5a:::::::*
	cpe:2.3:o:cisco:ios_xe:17.6.6:::::::*
	cpe:2.3:o:cisco:ios_xe:17.6.6a:::::::*
	cpe:2.3:o:cisco:ios_xe:17.6.7:::::::*
	cpe:2.3:o:cisco:ios_xe:17.6.8:::::::*
	cpe:2.3:o:cisco:ios_xe:17.6.8a:::::::*
	cpe:2.3:o:cisco:ios_xe:17.7.1:::::::*
	cpe:2.3:o:cisco:ios_xe:17.7.1a:::::::*
	cpe:2.3:o:cisco:ios_xe:17.7.2:::::::*
	cpe:2.3:o:cisco:ios_xe:17.8.1:::::::*
	cpe:2.3:o:cisco:ios_xe:17.8.1a:::::::*
	cpe:2.3:o:cisco:ios_xe:17.9.1:::::::*
	cpe:2.3:o:cisco:ios_xe:17.9.1a:::::::*
	cpe:2.3:o:cisco:ios_xe:17.9.2:::::::*
	cpe:2.3:o:cisco:ios_xe:17.9.2a:::::::*
	cpe:2.3:o:cisco:ios_xe:17.9.3:::::::*
	cpe:2.3:o:cisco:ios_xe:17.9.3a:::::::*
	cpe:2.3:o:cisco:ios_xe:17.9.4:::::::*
	cpe:2.3:o:cisco:ios_xe:17.9.4a:::::::*
	cpe:2.3:o:cisco:ios_xe:17.9.5:::::::*
	cpe:2.3:o:cisco:ios_xe:17.9.5a:::::::*
	cpe:2.3:o:cisco:ios_xe:17.9.5b:::::::*
	cpe:2.3:o:cisco:ios_xe:17.9.5e:::::::*
	cpe:2.3:o:cisco:ios_xe:17.9.5f:::::::*
	cpe:2.3:o:cisco:ios_xe:17.9.6:::::::*
	cpe:2.3:o:cisco:ios_xe:17.9.6a:::::::*
	cpe:2.3:o:cisco:ios_xe:17.10.1:::::::*
cpe:2.3:o:cisco:ios_xe:17.10.1a:::::::*
cpe:2.3:o:cisco:ios_xe:17.10.1b:::::::*
cpe:2.3:o:cisco:ios_xe:17.11.1:::::::*
cpe:2.3:o:cisco:ios_xe:17.11.1a:::::::*
cpe:2.3:o:cisco:ios_xe:17.12.1:::::::*
cpe:2.3:o:cisco:ios_xe:17.12.1a:::::::*
cpe:2.3:o:cisco:ios_xe:17.12.1z2:::::::*
cpe:2.3:o:cisco:ios_xe:17.12.2:::::::*
cpe:2.3:o:cisco:ios_xe:17.12.3:::::::*
cpe:2.3:o:cisco:ios_xe:17.12.3a:::::::*
cpe:2.3:o:cisco:ios_xe:17.12.4:::::::*
cpe:2.3:o:cisco:ios_xe:17.12.4a:::::::*
cpe:2.3:o:cisco:ios_xe:17.12.4b:::::::*
cpe:2.3:o:cisco:ios_xe:17.13.1:::::::*
cpe:2.3:o:cisco:ios_xe:17.13.1a:::::::*
cpe:2.3:o:cisco:ios_xe:17.14.1:::::::*
cpe:2.3:o:cisco:ios_xe:17.14.1a:::::::*
cpe:2.3:o:cisco:ios_xe:17.15.1:::::::*
cpe:2.3:o:cisco:ios_xe:17.15.1a:::::::*
cpe:2.3:o:cisco:ios_xe:17.15.1x:::::::*
cpe:2.3:o:cisco:ios_xe:17.15.2:::::::*
cpe:2.3:o:cisco:ios_xe:17.15.2b:::::::*
cpe:2.3:o:cisco:ios_xe:17.15.2c:::::::*
cpe:2.3:o:cisco:ios_xe:17.16.1:::::::*
cpe:2.3:o:cisco:ios_xe:17.16.1a:::::::*

No data.

References

Link	Providers
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snmp-bypass-HHUVujdn

History

Mon, 14 Jul 2025 13:45:00 +0000

Type	Values Removed	Values Added
Metrics	epss `{'score': 0.00018}`	epss `{'score': 0.00019}`

Sat, 12 Jul 2025 13:45:00 +0000

Type	Values Removed	Values Added
Metrics	epss `{'score': 0.00019}`	epss `{'score': 0.00018}`

Fri, 11 Jul 2025 14:45:00 +0000

Type	Values Removed	Values Added
First Time appeared		Cisco Cisco ios Xe
CPEs		cpe:2.3:o:cisco:ios_xe:16.12.13:::::::* cpe:2.3:o:cisco:ios_xe:17.1.1:::::::* cpe:2.3:o:cisco:ios_xe:17.1.1s:::::::* cpe:2.3:o:cisco:ios_xe:17.1.1t:::::::* cpe:2.3:o:cisco:ios_xe:17.1.3:::::::* cpe:2.3:o:cisco:ios_xe:17.10.1:::::::* cpe:2.3:o:cisco:ios_xe:17.10.1a:::::::* cpe:2.3:o:cisco:ios_xe:17.10.1b:::::::* cpe:2.3:o:cisco:ios_xe:17.11.1:::::::* cpe:2.3:o:cisco:ios_xe:17.11.1a:::::::* cpe:2.3:o:cisco:ios_xe:17.12.1:::::::* cpe:2.3:o:cisco:ios_xe:17.12.1a:::::::* cpe:2.3:o:cisco:ios_xe:17.12.1z2:::::::* cpe:2.3:o:cisco:ios_xe:17.12.2:::::::* cpe:2.3:o:cisco:ios_xe:17.12.3:::::::* cpe:2.3:o:cisco:ios_xe:17.12.3a:::::::* cpe:2.3:o:cisco:ios_xe:17.12.4:::::::* cpe:2.3:o:cisco:ios_xe:17.12.4a:::::::* cpe:2.3:o:cisco:ios_xe:17.12.4b:::::::* cpe:2.3:o:cisco:ios_xe:17.13.1:::::::* cpe:2.3:o:cisco:ios_xe:17.13.1a:::::::* cpe:2.3:o:cisco:ios_xe:17.14.1:::::::* cpe:2.3:o:cisco:ios_xe:17.14.1a:::::::* cpe:2.3:o:cisco:ios_xe:17.15.1:::::::* cpe:2.3:o:cisco:ios_xe:17.15.1a:::::::* cpe:2.3:o:cisco:ios_xe:17.15.1x:::::::* cpe:2.3:o:cisco:ios_xe:17.15.2:::::::* cpe:2.3:o:cisco:ios_xe:17.15.2b:::::::* cpe:2.3:o:cisco:ios_xe:17.15.2c:::::::* cpe:2.3:o:cisco:ios_xe:17.16.1:::::::* cpe:2.3:o:cisco:ios_xe:17.16.1a:::::::* cpe:2.3:o:cisco:ios_xe:17.2.1:::::::* cpe:2.3:o:cisco:ios_xe:17.2.1a:::::::* cpe:2.3:o:cisco:ios_xe:17.2.1r:::::::* cpe:2.3:o:cisco:ios_xe:17.2.1v:::::::* cpe:2.3:o:cisco:ios_xe:17.2.2:::::::* cpe:2.3:o:cisco:ios_xe:17.2.3:::::::* cpe:2.3:o:cisco:ios_xe:17.3.1:::::::* cpe:2.3:o:cisco:ios_xe:17.3.1a:::::::* cpe:2.3:o:cisco:ios_xe:17.3.2:::::::* cpe:2.3:o:cisco:ios_xe:17.3.2a:::::::* cpe:2.3:o:cisco:ios_xe:17.3.3:::::::* cpe:2.3:o:cisco:ios_xe:17.3.4:::::::* cpe:2.3:o:cisco:ios_xe:17.3.4a:::::::* cpe:2.3:o:cisco:ios_xe:17.3.5:::::::* cpe:2.3:o:cisco:ios_xe:17.3.6:::::::* cpe:2.3:o:cisco:ios_xe:17.3.7:::::::* cpe:2.3:o:cisco:ios_xe:17.3.8:::::::* cpe:2.3:o:cisco:ios_xe:17.3.8a:::::::* cpe:2.3:o:cisco:ios_xe:17.4.1:::::::* cpe:2.3:o:cisco:ios_xe:17.4.1a:::::::* cpe:2.3:o:cisco:ios_xe:17.4.1b:::::::* cpe:2.3:o:cisco:ios_xe:17.4.2:::::::* cpe:2.3:o:cisco:ios_xe:17.5.1:::::::* cpe:2.3:o:cisco:ios_xe:17.5.1a:::::::* cpe:2.3:o:cisco:ios_xe:17.6.1:::::::* cpe:2.3:o:cisco:ios_xe:17.6.1a:::::::* cpe:2.3:o:cisco:ios_xe:17.6.1y:::::::* cpe:2.3:o:cisco:ios_xe:17.6.2:::::::* cpe:2.3:o:cisco:ios_xe:17.6.3:::::::* cpe:2.3:o:cisco:ios_xe:17.6.3a:::::::* cpe:2.3:o:cisco:ios_xe:17.6.4:::::::* cpe:2.3:o:cisco:ios_xe:17.6.5:::::::* cpe:2.3:o:cisco:ios_xe:17.6.5a:::::::* cpe:2.3:o:cisco:ios_xe:17.6.6:::::::* cpe:2.3:o:cisco:ios_xe:17.6.6a:::::::* cpe:2.3:o:cisco:ios_xe:17.6.7:::::::* cpe:2.3:o:cisco:ios_xe:17.6.8:::::::* cpe:2.3:o:cisco:ios_xe:17.6.8a:::::::* cpe:2.3:o:cisco:ios_xe:17.7.1:::::::* cpe:2.3:o:cisco:ios_xe:17.7.1a:::::::* cpe:2.3:o:cisco:ios_xe:17.7.2:::::::* cpe:2.3:o:cisco:ios_xe:17.8.1:::::::* cpe:2.3:o:cisco:ios_xe:17.8.1a:::::::* cpe:2.3:o:cisco:ios_xe:17.9.1:::::::* cpe:2.3:o:cisco:ios_xe:17.9.1a:::::::* cpe:2.3:o:cisco:ios_xe:17.9.2:::::::* cpe:2.3:o:cisco:ios_xe:17.9.2a:::::::* cpe:2.3:o:cisco:ios_xe:17.9.3:::::::* cpe:2.3:o:cisco:ios_xe:17.9.3a:::::::* cpe:2.3:o:cisco:ios_xe:17.9.4:::::::* cpe:2.3:o:cisco:ios_xe:17.9.4a:::::::* cpe:2.3:o:cisco:ios_xe:17.9.5:::::::* cpe:2.3:o:cisco:ios_xe:17.9.5a:::::::* cpe:2.3:o:cisco:ios_xe:17.9.5b:::::::* cpe:2.3:o:cisco:ios_xe:17.9.5e:::::::* cpe:2.3:o:cisco:ios_xe:17.9.5f:::::::* cpe:2.3:o:cisco:ios_xe:17.9.6:::::::* cpe:2.3:o:cisco:ios_xe:17.9.6a:::::::*
Vendors & Products		Cisco Cisco ios Xe

Wed, 07 May 2025 20:15:00 +0000

Type	Values Removed	Values Added
Metrics		ssvc `{'options': {'Automatable': 'yes', 'Exploitation': 'none', 'Technical Impact': 'total'}, 'version': '2.0.3'}`

Wed, 07 May 2025 17:45:00 +0000

Type	Values Removed	Values Added
Description		A vulnerability in the packet filtering features of Cisco IOS XE SD-WAN Software could allow an unauthenticated, remote attacker to bypass Layer 3 and Layer 4 traffic filters. This vulnerability is due to improper traffic filtering conditions on an affected device. An attacker could exploit this vulnerability by sending a crafted packet to the affected device. A successful exploit could allow the attacker to bypass the Layer 3 and Layer 4 traffic filters and inject a crafted packet into the network.
Weaknesses		CWE-200
References		https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snmp-bypass-HHUVujdn
Metrics		cvssV3_1 `{'score': 5.3, 'vector': 'CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N'}`

MITRE

Status: PUBLISHED

Assigner: cisco

Published: 2025-05-07T17:38:49.862Z

Updated: 2025-05-07T19:41:59.096Z

Reserved: 2024-10-10T19:15:13.233Z

Link: CVE-2025-20221

Vulnrichment

Updated: 2025-05-07T18:56:52.535Z

NVD

Status : Analyzed

Published: 2025-05-07T18:15:41.917

Modified: 2025-07-11T14:43:38.090

Link: CVE-2025-20221

Redhat

No data.

Metrics

Attack Vector Network

Attack Complexity Low

Privileges Required None

Scope Unchanged

Confidentiality Impact Low

Integrity Impact None

Availability Impact None

User Interaction None

Exploitation none

Automatable yes

Technical Impact total

Affected Vendors & Products

JSON object

JSON object

JSON object

JSON object