Cisco actualizó el lunes su aviso de un conjunto de fallas de seguridad recientemente reveladas en Identity Services Engine (ISE) e ISE Passive Identity Connector (ISE-PIC) para buscar la explotación activa.
«En julio de 2025, el Cisco PSIRT (equipo de respuesta a incidentes de seguridad de productos) se dio cuenta del intento de explotación de algunas de estas vulnerabilidades en la naturaleza», dijo la compañía en una alerta.
El proveedor de equipos de red no reveló qué vulnerabilidades se han armado en ataques del mundo existente, la identidad de los actores de amenaza que los explotan o la escalera de la actividad.
Cisco ISE desempeña un papel central en el control de entrada a la red, administrando qué usuarios y dispositivos están permitidos en las redes corporativas y en qué condiciones. Un compromiso en esta capa podría elogiar a los
Las vulnerabilidades descritas en la alerta son todos errores con clasificación crítica (puntajes CVSS: 10.0) que podrían permitir que un atacante remoto no autenticado emita comandos en el sistema eficaz subyacente como el heredero root –
- CVE-2025-20281 y CVE-2025-20337 – Vulnerabilidades múltiples en una API específica que podría permitir que un atacante remoto no autenticado ejecute código subjetivo en el sistema eficaz subyacente como root
- CVE-2025-20282 – Una vulnerabilidad en una API interna que podría permitir que un atacante remoto no autenticado cargue archivos arbitrarios a un dispositivo afectado y luego ejecute esos archivos en el sistema eficaz subyacente como root
Si acertadamente los dos primeros defectos son el resultado de una energía insuficiente de la entrada proporcionada por el heredero, este postrero se deriva de la descuido de verificaciones de energía de archivos que evitarían que los archivos cargados se colocen en directorios privilegiados en un sistema afectado.
Como resultado, un atacante podría exprimir estas deficiencias enviando una solicitud de API diseñada (para CVE-2025-20281 y CVE-2025-20337) o cargando un archivo diseñado al dispositivo afectado (para CVE-2025-20282).
A la luz de la explotación activa, es esencial que los clientes se actualicen a una interpretación de software fija lo ayer posible para remediar estas vulnerabilidades. Estos defectos son explotables de forma remota sin autenticación, colocando sistemas no parpadeados con un stop aventura de ejecución del código remoto previo a la autoridad, una preocupación de nivel superior para los defensores que administran infraestructura crítica o entornos basados en el cumplimiento.
Los equipos de seguridad igualmente deben revisar los registros del sistema para una actividad de API sospechosa o cargas de archivos no autorizados, especialmente en implementaciones expuestas externamente.
