Cisco ha publicado actualizaciones para abordar dos fallas de seguridad de severidad máxima en Identity Services Engine (ISE) e ISE Passive Identity Connector (ISE-PIC) que podrían permitir que un atacante no autenticado ejecute comandos arbitrarios como el usuario de la raíz.
Las vulnerabilidades, asignaron los identificadores CVE CVE-2025-20281 y CVE-2025-20282, llevan una puntuación CVSS de 10.0 cada una. Una descripción de los defectos está a continuación –
- CVE-2025-20281 – Una vulnerabilidad de ejecución de código remoto no autenticada que afecta a Cisco ISE e ISE-PIC se libera 3.3 y luego que podría permitir que un atacante remoto no autenticado ejecute código arbitrario en el sistema operativo subyacente como root
- CVE-2025-20282 – Una vulnerabilidad de ejecución de código remoto no autenticada que afecta a Cisco ISE e ISE-PIC Release 3.4 que podría permitir que un atacante remoto no autenticado cargue archivos arbitrarios a un dispositivo afectado y ejecute esos archivos en el sistema operativo subyacente como root
Cisco dijo que CVE-2025-20281 es el resultado de una validación insuficiente de la entrada suministrada por el usuario, que un atacante podría explotar enviando una solicitud de API diseñada para obtener privilegios elevados y comandos de ejecución.
Por el contrario, CVE-2025-20282 se deriva de la falta de verificaciones de validación de archivos que de otro modo evitarían que los archivos cargados se coloquen en directorios privilegiados.
«Una exploit exitosa podría permitir al atacante almacenar archivos maliciosos en el sistema afectado y luego ejecutar código arbitrario u obtener privilegios raíz en el sistema», dijo Cisco.
El proveedor de equipos de redes dijo que no hay soluciones que aborden los problemas. Las deficiencias se han abordado en las versiones a continuación –
- CVE-2025-20281 -Cisco ISE o ISE-PIC 3.3 Patch 6 (ISE-APLY-CSCWO99449_3.3.0.430_PATCH4PA.TAR.GZ), 3.4 Patch 2 (ISE-APPLY-CSCWO99449_3.4.0.608_patch1spa.tar.gz)
- CVE-2025-20282 -Cisco ISE o ISE-PIC 3.4 Patch 2 (ISE-Apply-CSCWO99449_3.4.0.608_patch1-pa.tar.gz)
La compañía acreditó a Bobby Gould de la Iniciativa TREND Micro Zero Day y Kentaro Kawane de GMO CyberSecurity por informar CVE-2025-20281. Kawane, quien anteriormente informó CVE-2025-20286 (puntaje CVSS: 9.9), también ha sido reconocido por informar CVE-2025-20282.
Si bien no hay evidencia de que las vulnerabilidades hayan sido explotadas en la naturaleza, es esencial que los usuarios se muevan rápidamente para aplicar las soluciones a la protección contra posibles amenazas.