Cisco atrage atenția asupra a două vulnerabilități critice în Cisco Identity Services Engine (ISE) și Passive Identity Connector (ISE-PIC), care pot fi exploatate de la distanță, fără autentificare.
Problemele de securitate sunt identificate ca CVE-2025-20281 și CVE-2025-20282. Acestea au primit un scor de severitate maximă, permițând compromiterea completă a dispozitivelor vizate fără niciun fel de interacțiune din partea utilizatorului.
Vulnerabilitățile ce permit executarea de cod de la distanta (RCE) afectează versiunile ISE și ISE-PIC 3.4 și 3.3.
Cauza principală a vulnerabilității CVE-2025-20281 este validarea insuficientă a datelor introduse de utilizator într-un anumit API expus.
Acest lucru permite unui atacator neautentificat, aflat la distanță, să trimită o cerere API creată special pentru a executa comenzi arbitrare ale sistemului de operare cu drepturi de root.
A doua problemă, CVE-2025-20282, este cauzată de validarea defectuoasă a fișierelor într-un API intern, permițând scrierea fișierelor în directoare care necesită permisiuni sporite.
Această vulnerabilitate permite atacatorilor neautentificați, aflați la distanță, să încarce fișiere arbitrare pe sistemul țintă și să le execute cu privilegii de root.
Cisco Identity Services Engine (ISE) este o platformă pentru gestionarea politicilor de securitate a rețelei și controlul accesului, folosită de organizații pentru a administra conexiunile la rețea, servind ca instrument de control al accesului la rețea (NAC), management al identității și implementare a politicilor.
Produsul este, de obicei, utilizat de mari întreprinderi, organizații guvernamentale, universități și furnizori de servicii, fiind situat în centrul rețelei de întreprindere.
Cisco menționează într-un buletin de securitate că nu are cunoștință de cazuri de exploatare activă pentru cele două vulnerabilități. Totuși, instalarea noilor actualizări ar trebui să fie prioritară.
Nu au fost furnizate soluții alternative pentru remedierea vulnerabilităților, astfel încât aplicarea actualizărilor de securitate reprezintă soluția recomandată.
