A Cisco liberou atualizações para corrigir duas falhas de segurança críticas no Identity Services Engine (ISE) que poderiam permitir a atacantes remotos executar comandos arbitrários e elevar privilégios em dispositivos suscetíveis.
As vulnerabilidades estão listadas abaixo:
CVE-2025-20124 (Pontuação CVSS: 9.9) - Uma vulnerabilidade de deserialização insegura de Java em uma API do Cisco ISE que poderia permitir a um atacante remoto autenticado executar comandos arbitrários como o usuário root em um dispositivo afetado.
CVE-2025-20125 (Pontuação CVSS: 9.1) - Uma vulnerabilidade de bypass de autorização em uma API do Cisco ISE poderia permitir a um atacante remoto autenticado com credenciais válidas de somente leitura obter informações sensíveis, alterar configurações do nó e reiniciar o nó.
Um atacante poderia explorar uma das falhas enviando um objeto Java serializado criado ou uma solicitação HTTP para um endpoint de API não especificado, o que resultaria em escalada de privilégios e execução de código.
A Cisco declarou que as duas vulnerabilidades não dependem uma da outra e que não existem soluções alternativas para mitigá-las.
Elas foram corrigidas nas versões abaixo:
- Cisco ISE versão de software 3.0 (Migrar para uma versão corrigida)
- Cisco ISE versão de software 3.1 (Corrigido em 3.1P10)
- Cisco ISE versão de software 3.2 (Corrigido em 3.2P7)
- Cisco ISE versão de software 3.3 (Corrigido em 3.3P4)
- Cisco ISE versão de software 3.4 (Não vulnerável)
Os pesquisadores de segurança da Deloitte, Dan Marin e Sebastian Radulea, foram reconhecidos por descobrir e relatar as vulnerabilidades.
Embora a grande empresa de equipamentos de rede tenha declarado que não está ciente de qualquer exploração maliciosa das falhas, é aconselhado que os usuários mantenham seus sistemas atualizados para proteção ótima.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...