Cisco ha revelado una nueva vulnerabilidad de seguridad máxima que impacta el motor de servicios de identidad (ISE) y el conector de identidad pasivo de Cisco ISE (ISE-PIC) que podría permitir que un atacante ejecute código subjetivo en el sistema activo subyacente con privilegios elevados.
Rastreado como CVE-2025-20337, la deficiencia conlleva un puntaje CVSS de 10.0 y es similar a CVE-2025-20281, que fue parcheado por el importante mes de equipos de redes de redes a fines del mes pasado.
«Múltiples vulnerabilidades en una API específica de Cisco ISE y Cisco ISE-PIC podrían permitir que un atacante remoto no autenticado ejecute código subjetivo en el sistema activo subyacente como root. El atacante no requiere ninguna credencial válida para explotar estas vulnerabilidades», dijo la compañía en un asesor actualizado.
«Estas vulnerabilidades se deben a la firmeza insuficiente de la entrada proporcionada por el becario. Un atacante podría explotar estas vulnerabilidades enviando una solicitud de API diseñada. Una exploit exitosa podría permitir al atacante obtener privilegios de raíz en un dispositivo afectado».
Kentaro Kawane de GMO Ciberseguridad ha sido acreditado por descubrir e informar el defecto. Kawane fue obligado previamente por otros dos defectos críticos de Cisco ISE (CVE-2025-20286 y CVE-2025-20282) y otro error crítico en Fortinet Fortiweb (CVE-2025-25257)
CVE-2025-20337 afecta a ISE e ISE-PIC libera 3.3 y 3.4, independientemente de la configuración del dispositivo. No afecta a ISE e ISE-PIC Release 3.2 o antecedente. El problema ha sido parcheado en las siguientes versiones –
- Cisco ISE o ISE-PIC Release 3.3 (fijo en 3.3 Patch 7)
- Cisco ISE o ISE-PIC Release 3.4 (fijo en 3.4 Patch 2)
No hay evidencia de que la vulnerabilidad haya sido explotada en un contexto astuto. Dicho esto, siempre es una buena destreza avalar que los sistemas se mantengan actualizados para evitar posibles amenazas.
La divulgación se produce cuando la Fundación Shadowserver informó que los actores de amenazas probablemente están explotando exploits publicados públicamente asociados con CVE-2025-25257 para eliminar los proyectiles web en instancias susceptibles de Fortinet Fortiweb desde el 11 de julio de 2025.
Al 15 de julio, se estima que hay 77 instancias infectadas, por debajo de 85 el día antecedente. La mayoría de los compromisos se concentran en América del Ideal (44), Asia (14) y Europa (13).
Los datos de la plataforma de trámite de la superficie de ataque muestran que hay 20,098 electrodomésticos Fortinet Fortiweb en linde, excluyendo Honeypots, aunque actualmente no se sabe cuántos de estos son vulnerables a CVE-2025-25257.
«Esta equivocación permite a los atacantes no autenticados ejecutar comandos SQL arbitrarios a través de solicitudes HTTP diseñadas, lo que lleva a la ejecución de código remoto (RCE)», dijo Censys.
