Cisco ha publicado actualizaciones para asaltar dos fallas de seguridad de severidad máxima en Identity Services Engine (ISE) e ISE Passive Identity Connector (ISE-PIC) que podrían permitir que un atacante no autenticado ejecute comandos arbitrarios como el legatario de la raíz.
Las vulnerabilidades, asignaron los identificadores CVE CVE-2025-20281 y CVE-2025-20282, llevan una puntuación CVSS de 10.0 cada una. Una descripción de los defectos está a continuación –
- CVE-2025-20281 – Una vulnerabilidad de ejecución de código remoto no autenticada que afecta a Cisco ISE e ISE-PIC se libera 3.3 y luego que podría permitir que un atacante remoto no autenticado ejecute código improcedente en el sistema activo subyacente como root
- CVE-2025-20282 – Una vulnerabilidad de ejecución de código remoto no autenticada que afecta a Cisco ISE e ISE-PIC Release 3.4 que podría permitir que un atacante remoto no autenticado cargue archivos arbitrarios a un dispositivo afectado y ejecute esos archivos en el sistema activo subyacente como root
Cisco dijo que CVE-2025-20281 es el resultado de una nervio insuficiente de la entrada proporcionada por el legatario, que un atacante podría explotar enviando una solicitud de API diseñada para obtener privilegios elevados y comandos de ejecución.
Por el contrario, CVE-2025-20282 se deriva de la desidia de verificaciones de nervio de archivos que de otro modo evitarían que los archivos cargados se coloquen en directorios privilegiados.
«Una exploit exitosa podría permitir al atacante juntar archivos maliciosos en el sistema afectado y luego ejecutar código improcedente u obtener privilegios raíz en el sistema», dijo Cisco.
El proveedor de equipos de redes dijo que no hay soluciones que aborden los problemas. Las deficiencias se han abordado en las versiones a continuación –
- CVE-2025-20281 -Cisco ISE o ISE-PIC 3.3 Patch 6 (ISE-APLY-CSCWO99449_3.3.0.430_PATCH4PA.TAR.GZ), 3.4 Patch 2 (ISE-APPLY-CSCWO99449_3.4.0.608_patch1spa.tar.gz)
- CVE-2025-20282 -Cisco ISE o ISE-PIC 3.4 Patch 2 (ISE-Apply-CSCWO99449_3.4.0.608_patch1-pa.tar.gz)
La compañía acreditó a Bobby Gould de la Iniciativa TREND Micro Zero Day y Kentaro Kawane de GMO CyberSecurity por informar CVE-2025-20281. Kawane, quien anteriormente informó CVE-2025-20286 (puntaje CVSS: 9.9), igualmente ha sido agradecido por informar CVE-2025-20282.
Si adecuadamente no hay evidencia de que las vulnerabilidades hayan sido explotadas en la naturaleza, es esencial que los usuarios se muevan rápidamente para aplicar las soluciones a la protección contra posibles amenazas.
