Cisco actualizó el lunes su aviso de un conjunto de fallas de seguridad recientemente reveladas en Identity Services Engine (ISE) e ISE Passive Identity Connector (ISE-PIC) para reconocer la explotación activa.
«En julio de 2025, el Cisco PSIRT (equipo de respuesta a incidentes de seguridad de productos) se dio cuenta del intento de explotación de algunas de estas vulnerabilidades en la naturaleza», dijo la compañía en una alerta.
El proveedor de equipos de red no reveló qué vulnerabilidades se han armado en ataques del mundo real, la identidad de los actores de amenaza que los explotan o la escala de la actividad.
Cisco ISE desempeña un papel central en el control de acceso a la red, administrando qué usuarios y dispositivos están permitidos en las redes corporativas y en qué condiciones. Un compromiso en esta capa podría brindar a los
Las vulnerabilidades descritas en la alerta son todos errores con clasificación crítica (puntajes CVSS: 10.0) que podrían permitir que un atacante remoto no autenticado emita comandos en el sistema operativo subyacente como el usuario root –
- CVE-2025-20281 y CVE-2025-20337 – Vulnerabilidades múltiples en una API específica que podría permitir que un atacante remoto no autenticado ejecute código arbitrario en el sistema operativo subyacente como root
- CVE-2025-20282 – Una vulnerabilidad en una API interna que podría permitir que un atacante remoto no autenticado cargue archivos arbitrarios a un dispositivo afectado y luego ejecute esos archivos en el sistema operativo subyacente como root
Si bien los dos primeros defectos son el resultado de una validación insuficiente de la entrada proporcionada por el usuario, este último se deriva de la falta de verificaciones de validación de archivos que evitarían que los archivos cargados se colocen en directorios privilegiados en un sistema afectado.
Como resultado, un atacante podría aprovechar estas deficiencias enviando una solicitud de API diseñada (para CVE-2025-20281 y CVE-2025-20337) o cargando un archivo diseñado al dispositivo afectado (para CVE-2025-20282).
A la luz de la explotación activa, es esencial que los clientes se actualicen a una versión de software fija lo antes posible para remediar estas vulnerabilidades. Estos defectos son explotables de forma remota sin autenticación, colocando sistemas no parpadeados con un alto riesgo de ejecución del código remoto previo a la autoridad, una preocupación de nivel superior para los defensores que administran infraestructura crítica o entornos basados en el cumplimiento.
Los equipos de seguridad también deben revisar los registros del sistema para una actividad de API sospechosa o cargas de archivos no autorizados, especialmente en implementaciones expuestas externamente.