A Cisco divulgou uma nova vulnerabilidade de segurança de severidade máxima que afeta o Identity Services Engine (ISE) e o Cisco ISE Passive Identity Connector (ISE-PIC), que poderia permitir a um atacante executar códigos arbitrários no sistema operacional subjacente com privilégios elevados.
Rastreada como
CVE-2025-20337
, a falha tem uma pontuação CVSS de 10.0 e é semelhante ao
CVE-2025-20281
, que foi corrigido pela gigante de equipamentos de rede no final do mês passado.
"Múltiplas vulnerabilidades em uma API específica do Cisco ISE e do Cisco ISE-PIC poderiam permitir a um atacante remoto não autenticado executar códigos arbitrários no sistema operacional subjacente como root.
O atacante não precisa de credenciais válidas para explorar essas vulnerabilidades", disse a empresa em um comunicado atualizado.
Essas vulnerabilidades são devidas à validação insuficiente da entrada fornecida pelo usuário.
Um atacante poderia explorar essas vulnerabilidades enviando uma solicitação API elaborada.
Uma exploração bem-sucedida poderia permitir ao atacante obter privilégios de root em um dispositivo afetado.
Kentaro Kawane, da GMO Cybersecurity, foi quem descobriu e relatou a falha.
Kawane já foi reconhecido anteriormente por duas outras falhas críticas no Cisco ISE (
CVE-2025-20286
e
CVE-2025-20282
) e outra falha crítica no Fortinet FortiWeb (CVE-2025-25257).
O
CVE-2025-20337
afeta as versões 3.3 e 3.4 do ISE e ISE-PIC, independentemente da configuração do dispositivo.
Não impacta as versões 3.2 ou anteriores do ISE e ISE-PIC.
O problema foi corrigido nas seguintes versões:
- Cisco ISE ou ISE-PIC versão 3.3 (Corrigido no Patch 3.3 7)
- Cisco ISE ou ISE-PIC versão 3.4 (Corrigido no Patch 3.4 2)
Não há evidências de que a vulnerabilidade tenha sido explorada em um contexto malicioso.
Dito isso, é sempre uma boa prática garantir que os sistemas estejam atualizados para evitar potenciais ameaças.
A divulgação ocorre no momento em que a Fundação Shadowserver relatou que atores de ameaças provavelmente estão explorando exploits publicamente divulgados associados ao CVE-2025-25257 para instalar web shells em instâncias susceptíveis do Fortinet FortiWeb desde 11 de julho de 2025.
Até 15 de julho, estima-se que haja 77 instâncias infectadas, reduzindo das 85 do dia anterior.
A maioria dos comprometimentos está concentrada na América do Norte (44), Ásia (14) e Europa (13).
Dados da plataforma de gerenciamento de superfície de ataque Censys mostram que existem 20.098 aparelhos Fortinet FortiWeb online, excluindo honeypots, embora atualmente não se saiba quantos destes são vulneráveis ao CVE-2025-25257.
"Essa falha permite que atacantes não autenticados executem comandos SQL arbitrários por meio de solicitações HTTP elaboradas, levando à execução remota de código (RCE)", disse Censys.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...