Cisco ha publicado actualizaciones para acometer dos fallas de seguridad de severidad máxima en Identity Services Engine (ISE) e ISE Passive Identity Connector (ISE-PIC) que podrían permitir que un atacante no autenticado ejecute comandos arbitrarios como el usufructuario de la raíz.
Las vulnerabilidades, asignaron los identificadores CVE CVE-2025-20281 y CVE-2025-20282, llevan una puntuación CVSS de 10.0 cada una. Una descripción de los defectos está a continuación –
- CVE-2025-20281 – Una vulnerabilidad de ejecución de código remoto no autenticada que afecta a Cisco ISE e ISE-PIC se libera 3.3 y luego que podría permitir que un atacante remoto no autenticado ejecute código infundado en el sistema eficaz subyacente como root
- CVE-2025-20282 – Una vulnerabilidad de ejecución de código remoto no autenticada que afecta a Cisco ISE e ISE-PIC Release 3.4 que podría permitir que un atacante remoto no autenticado cargue archivos arbitrarios a un dispositivo afectado y ejecute esos archivos en el sistema eficaz subyacente como root
Cisco dijo que CVE-2025-20281 es el resultado de una nervio insuficiente de la entrada proporcionada por el usufructuario, que un atacante podría explotar enviando una solicitud de API diseñada para obtener privilegios elevados y comandos de ejecución.
Por el contrario, CVE-2025-20282 se deriva de la yerro de verificaciones de nervio de archivos que de otro modo evitarían que los archivos cargados se coloquen en directorios privilegiados.
“Una exploit exitosa podría permitir al atacante juntar archivos maliciosos en el sistema afectado y luego ejecutar código infundado u obtener privilegios raíz en el sistema”, dijo Cisco.
El proveedor de equipos de redes dijo que no hay soluciones que aborden los problemas. Las deficiencias se han abordado en las versiones a continuación –
- CVE-2025-20281 -Cisco ISE o ISE-PIC 3.3 Patch 6 (ISE-APLY-CSCWO99449_3.3.0.430_PATCH4PA.TAR.GZ), 3.4 Patch 2 (ISE-APPLY-CSCWO99449_3.4.0.608_patch1spa.tar.gz)
- CVE-2025-20282 -Cisco ISE o ISE-PIC 3.4 Patch 2 (ISE-Apply-CSCWO99449_3.4.0.608_patch1-pa.tar.gz)
La compañía acreditó a Bobby Gould de la Iniciativa TREND Micro Zero Day y Kentaro Kawane de GMO CyberSecurity por informar CVE-2025-20281. Kawane, quien anteriormente informó CVE-2025-20286 (puntaje CVSS: 9.9), además ha sido obligado por informar CVE-2025-20282.
Si acertadamente no hay evidencia de que las vulnerabilidades hayan sido explotadas en la naturaleza, es esencial que los usuarios se muevan rápidamente para aplicar las soluciones a la protección contra posibles amenazas.
