Cisco corrige falhas em ISE e ISE-PIC
27 de Junho de 2025

A Cisco liberou atualizações para corrigir duas falhas de segurança de gravidade máxima no Identity Services Engine (ISE) e no ISE Passive Identity Connector (ISE-PIC) que poderiam permitir a um atacante não autenticado executar comandos arbitrários como usuário root.

As vulnerabilidades, identificadas pelos identificadores CVE CVE-2025-20281 e CVE-2025-20282 , possuem uma pontuação CVSS de 10,0 cada.

Abaixo segue uma descrição dos defeitos:

CVE-2025-20281 - Uma vulnerabilidade de execução remota de código não autenticada que afeta as versões do Cisco ISE e ISE-PIC 3.3 e posteriores, que poderia permitir a um atacante remoto não autenticado executar código arbitrário no sistema operacional subjacente como root.

CVE-2025-20282 - Uma vulnerabilidade de execução remota de código não autenticada que afeta a versão do Cisco ISE e ISE-PIC 3.4, que poderia permitir a um atacante remoto não autenticado enviar arquivos arbitrários para um dispositivo afetado e executar esses arquivos no sistema operacional subjacente como root.

A Cisco informou que o CVE-2025-20281 é o resultado de uma validação insuficiente da entrada fornecida pelo usuário, que um atacante poderia explorar enviando uma solicitação de API elaborada para obter privilégios elevados e executar comandos.

Em contraste, o CVE-2025-20282 decorre da falta de verificações de validação de arquivos que, de outra forma, impediriam que os arquivos carregados fossem colocados em diretórios privilegiados.

"Um exploit bem-sucedido poderia permitir que o atacante armazenasse arquivos maliciosos no sistema afetado e, em seguida, executasse código arbitrário ou obtivesse privilégios de root no sistema", disse a Cisco.

O fornecedor de equipamentos de rede disse que não há soluções alternativas que abordem os problemas.

As deficiências foram corrigidas nas seguintes versões:

CVE-2025-20281 - Cisco ISE ou ISE-PIC 3.3 Patch 6 (ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz), 3.4 Patch 2 (ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz) CVE-2025-20282 - Cisco ISE ou ISE-PIC 3.4 Patch 2 (ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz)

A empresa creditou Bobby Gould da Trend Micro Zero Day Initiative e Kentaro Kawane da GMO Cybersecurity por relatar o CVE-2025-20281 .

Kawane, que anteriormente relatou o CVE-2025-20286 (pontuação CVSS: 9.9), também foi reconhecido por relatar o CVE-2025-20282 .

Embora não haja evidências de que as vulnerabilidades tenham sido exploradas ativamente, é essencial que os usuários se movam rapidamente para aplicar as correções e proteger contra potenciais ameaças.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...