Cisco ha publicado actualizaciones para abordar dos Motores de servicios de identidad de fallas de seguridad críticas (ISE) que podrían permitir a los atacantes remotos ejecutar comandos arbitrarios y elevar los privilegios en los dispositivos susceptibles.
Las vulnerabilidades se enumeran a continuación –
- CVE-2025-20124 (Puntuación CVSS: 9.9): una insegura vulnerabilidad de deserialización de Java en una API de Cisco ISE que podría permitir que un atacante autenticado y remoto ejecute comandos arbitrarios como el usuario raíz en un dispositivo afectado.
- CVE-2025-20125 (Puntuación CVSS: 9.1) – Una vulnerabilidad de autorización de autorización en una API de Cisco ISE podría permitir un atacante autenticado y remoto con credenciales válidas de solo lectura para obtener información confidencial, cambiar las configuraciones de nodos y reiniciar el nodo
Un atacante podría armarse de cualquiera de los defectos enviando un objeto Java serializado elaborado o una solicitud HTTP a un punto final API no especificado, lo que lleva a la escalada de privilegios y la ejecución del código.
Cisco dijo que las dos vulnerabilidades no dependen entre sí y que no hay soluciones para mitigarlas. Se han abordado en las versiones a continuación –
- Cisco ISE Software Release 3.0 (migra a una versión fija)
- Cisco ISE Software Release 3.1 (fijado en 3.1p10)
- Cisco ISE Software Release 3.2 (fijado en 3.2p7)
- Cisco ISE Software Release 3.3 (fijado en 3.3p4)
- Cisco ISE Software Release 3.4 (no vulnerable)
Los investigadores de seguridad de Deloitte, Dan Marin y Sebastian Radulea, han sido acreditados por descubrir e informar las vulnerabilidades.
Si bien el Mayor de equipos de redes dijo que no es consciente de ninguna explotación maliciosa de los defectos, se aconseja a los usuarios que mantengan sus sistemas actualizados para una protección óptima.