Cisco corrige FALHAS críticas em ISE
6 de Fevereiro de 2025

A Cisco liberou atualizações para corrigir duas falhas de segurança críticas no Identity Services Engine (ISE) que poderiam permitir a atacantes remotos executar comandos arbitrários e elevar privilégios em dispositivos suscetíveis.

As vulnerabilidades estão listadas abaixo:

CVE-2025-20124 (Pontuação CVSS: 9.9) - Uma vulnerabilidade de deserialização insegura de Java em uma API do Cisco ISE que poderia permitir a um atacante remoto autenticado executar comandos arbitrários como o usuário root em um dispositivo afetado.

CVE-2025-20125 (Pontuação CVSS: 9.1) - Uma vulnerabilidade de bypass de autorização em uma API do Cisco ISE poderia permitir a um atacante remoto autenticado com credenciais válidas de somente leitura obter informações sensíveis, alterar configurações do nó e reiniciar o nó.

Um atacante poderia explorar uma das falhas enviando um objeto Java serializado criado ou uma solicitação HTTP para um endpoint de API não especificado, o que resultaria em escalada de privilégios e execução de código.

A Cisco declarou que as duas vulnerabilidades não dependem uma da outra e que não existem soluções alternativas para mitigá-las.

Elas foram corrigidas nas versões abaixo:

- Cisco ISE versão de software 3.0 (Migrar para uma versão corrigida)
- Cisco ISE versão de software 3.1 (Corrigido em 3.1P10)
- Cisco ISE versão de software 3.2 (Corrigido em 3.2P7)
- Cisco ISE versão de software 3.3 (Corrigido em 3.3P4)
- Cisco ISE versão de software 3.4 (Não vulnerável)

Os pesquisadores de segurança da Deloitte, Dan Marin e Sebastian Radulea, foram reconhecidos por descobrir e relatar as vulnerabilidades.

Embora a grande empresa de equipamentos de rede tenha declarado que não está ciente de qualquer exploração maliciosa das falhas, é aconselhado que os usuários mantenham seus sistemas atualizados para proteção ótima.

Publicidade

Inteligência Artificial para potencializar seu Google Calendar

A Dola é uma IA que funciona diretamente no WhatsApp ou Telegram, permitindo que você gerencie sua agenda — seja do Google Calendar ou do iPhone — de forma simples e intuitiva, mandando mensagens de texto, áudio ou até imagens.
Com a Dola, você recebe lembretes inteligentes, ligações na hora dos compromissos, resumo diário da sua agenda, pode fazer perguntas a qualquer momento e até receber, todos os dias, a previsão do tempo.
Perfeita para quem busca mais organização, foco e produtividade no dia a dia.
E o melhor: é gratuito! Experimente agora. Saiba mais...