Cisco ha publicado una actualización para abordar dos defectos de seguridad máximos: el motor de servicios de identidad (ISE) y el ISE Passive Identity Connector (ISE-PIC).
Vulnerabilidades asignadas a los identificadores CVE CVE-2025-20281 y CVE-2025-20282 tienen una puntuación CVSS de 10.0. La explicación del defecto está a continuación –
CVE-2025-20281-CVE-2025-20281- Vulnerabilidad de ejecución de código remoto no autenticado que afectan las liberaciones de CISCO que afectan las liberaciones de Cisco ISE e ISE-PIC que afectan a Cisco ISE e ISE-PIC que afectan a Cisco ISE e ISE-PIC que afectan las liberaciones de CISCO ISE e ISE-PIC que afectan el CISCO. Esto permite a los atacantes remotos no reconocidos ejecutar código arbitrario desde el sistema operativo subyacente como raíz CVE-2025-20282 como raíz CVE-2025-20282 como raíz CVE-2025-20282 como CVE-2025-20282 como raíz Root CVE-2025-20282 como raíz CVE-2025-20282 como root CVE-2025252525252525252525252 raíz CVE-2025-20282 como raíz CVE-2025-20282. Atacantes remotos no certificados para cargar cualquier archivo en un dispositivo afectado y ejecutar esos archivos como root en el sistema operativo subyacente
Cisco dijo que CVE-2025-20281 puede ser utilizado por los atacantes que envían solicitudes API creadas al obtener altos privilegios y ejecutar comandos porque los usuarios validan de manera insuficiente la entrada suplementada.
Por el contrario, CVE-2025-20282 se debe a la falta de verificaciones de validación de archivos que evitan que los archivos cargados se coloquen en directorios privilegiados.
«Si el exploit es exitoso, un atacante puede guardar el archivo malicioso en el sistema afectado, ejecutar código arbitrario o obtener privilegios raíz en el sistema», dijo Cisco.
El proveedor de equipos de redes dijo que no había solución para abordar el problema. Los inconvenientes se abordan en las siguientes versiones –
CVE-2025-20281-Cisco ISE o ISE-PIC 3.3 Patch 6 (ISE-APPLY-CSCWO99449_3.3.0.430_patch4-pa.tar.gz), 3.4 Patch 2 (ISE-Aply-Cscwo994449_3.4.0.608_patch1spa.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar .Tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar r.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar. Tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar.tar 3.4 Patch 2 (ISE-Apply-CSCWO99449_3.4.0.608_patch1-pa.tar.gz)
La compañía elogió a Bobby Gould de la Iniciativa TREND Micro Zero Day y Kentarokawan de Ciberseguridad GMO por informar CVE-2025-20281. Kawane, quien anteriormente informó CVE-2025-20286 (puntaje CVSS: 9.9), también ha sido reconocido por informar CVE-2025-20282.
No hay evidencia de que las vulnerabilidades se estén explotando en la naturaleza, pero es esencial que los usuarios se muevan rápidamente para aplicar soluciones para proteger contra posibles amenazas.
Source link
