Kritické zraniteľnosti v Cisco ISE a ISE-PIC umožňujú vzdialené vykonanie príkazov

Spoločnosť Cisco vydala bezpečnostné aktualizácie pre produkty Cisco Identity Services Engine (ISE) and Cisco ISE Passive Identity Connector (ISE-PIC), ktoré opravujú dve kritické bezpečnostné zraniteľnosti. CVE-2025-20281 a CVE-2025-20282 by útočník mohol zneužiť na vzdialené vykonanie kódu v mene používateľa root a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

• Cisco ISE a ISE-PIC 3.3 bez inštalovanej záplaty Patch 6 ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz
• Cisco ISE a ISE-PIC 3.4 bez inštalovanej záplaty Patch 2 ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz

Opis zraniteľnosti:

CVE-2025-20281 (CVSS skóre 10,0)

Kritická zraniteľnosti spočíva v nedostatočnom overovaní používateľských vstupov v rámci bližšie nešpecifikovaného ISE API rozhrania. Vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorených API požiadaviek mohol zneužiť na získanie privilégií používateľa root a vzdialené vykonanie príkazov operačného systému zariadenia.

CVE-2025-20282 (CVSS skóre 10,0)

CVE-2025-2028 spočíva v absencii overovania nahrávaných súborov, čo možno zneužiť na ich nahratie do privilegovaných priečinkov na súborovom systéme zariadenia. Tak môže útočník získať možnosť eskalácie privilégií na úroveň používateľa root a vzdialene vykonávať kód.

Možné škody:

• Eskalácia privilégií
• Vzdialené vykonanie kódu
• Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom Cisco Identity Services Engine (ISE) and Cisco ISE Passive Identity Connector odporúčame bezodkladnú inštaláciu záplat Patch 6 ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz pre verziu 3.3 a Patch 2 ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz pre verziu 3.4.

Zdroje:

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6
• https://thehackernews.com/2025/06/critical-rce-flaws-in-cisco-ise-and-ise.html