Cisco actualizó el lunes su aviso de un conjunto de fallas de seguridad recientemente reveladas en Identity Services Engine (ISE) e ISE Passive Identity Connector (ISE-PIC) para investigar la explotación activa.
“En julio de 2025, el Cisco PSIRT (equipo de respuesta a incidentes de seguridad de productos) se dio cuenta del intento de explotación de algunas de estas vulnerabilidades en la naturaleza”, dijo la compañía en una alerta.
El proveedor de equipos de red no reveló qué vulnerabilidades se han armado en ataques del mundo vivo, la identidad de los actores de amenaza que los explotan o la escalera de la actividad.
Cisco ISE desempeña un papel central en el control de llegada a la red, administrando qué usuarios y dispositivos están permitidos en las redes corporativas y en qué condiciones. Un compromiso en esta capa podría elogiar a los
Las vulnerabilidades descritas en la alerta son todos errores con clasificación crítica (puntajes CVSS: 10.0) que podrían permitir que un atacante remoto no autenticado emita comandos en el sistema activo subyacente como el legatario root –
- CVE-2025-20281 y CVE-2025-20337 – Vulnerabilidades múltiples en una API específica que podría permitir que un atacante remoto no autenticado ejecute código subjetivo en el sistema activo subyacente como root
- CVE-2025-20282 – Una vulnerabilidad en una API interna que podría permitir que un atacante remoto no autenticado cargue archivos arbitrarios a un dispositivo afectado y luego ejecute esos archivos en el sistema activo subyacente como root
Si adecuadamente los dos primeros defectos son el resultado de una firmeza insuficiente de la entrada proporcionada por el legatario, este posterior se deriva de la desatiendo de verificaciones de firmeza de archivos que evitarían que los archivos cargados se colocen en directorios privilegiados en un sistema afectado.
Como resultado, un atacante podría disfrutar estas deficiencias enviando una solicitud de API diseñada (para CVE-2025-20281 y CVE-2025-20337) o cargando un archivo diseñado al dispositivo afectado (para CVE-2025-20282).
A la luz de la explotación activa, es esencial que los clientes se actualicen a una traducción de software fija lo antaño posible para remediar estas vulnerabilidades. Estos defectos son explotables de forma remota sin autenticación, colocando sistemas no parpadeados con un detención peligro de ejecución del código remoto previo a la autoridad, una preocupación de nivel superior para los defensores que administran infraestructura crítica o entornos basados en el cumplimiento.
Los equipos de seguridad además deben revisar los registros del sistema para una actividad de API sospechosa o cargas de archivos no autorizados, especialmente en implementaciones expuestas externamente.
