Kritické zraniteľnosti v Cisco ISE a ISE-PIC umožňujú vzdialené vykonanie príkazov

Spoločnosť Cisco vydala bezpečnostné aktualizácie pre produkty Cisco Identity Services Engine (ISE) and Cisco ISE Passive Identity Connector (ISE-PIC), ktoré opravujú tri kritické bezpečnostné zraniteľnosti. CVE-2025-20337, CVE-2025-20281 a CVE-2025-20282 by útočník mohol zneužiť na vzdialené vykonanie kódu v mene používateľa root a získanie úplnej kontroly nad systémom.
[Aktualizované 29.7.2025]
CISA zaradila všetky tri zraniteľnosti do zoznamu aktívne zneužívaných 28.7.2025.

Zraniteľné systémy:

• Cisco ISE a ISE-PIC 3.3 bez inštalovanej záplaty Patch 7
• Cisco ISE a ISE-PIC 3.4 bez inštalovanej záplaty Patch 2

Opis zraniteľnosti:

CVE-2025-20281 a CVE-2025-20337 (CVSS skóre 10,0)

Kritické zraniteľnosti spočívajú v nedostatočnom overovaní používateľských vstupov v rámci bližšie nešpecifikovaného ISE API rozhrania. Vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorených API požiadaviek mohol zneužiť na získanie privilégií používateľa root a vzdialené vykonanie príkazov operačného systému zariadenia.

CVE-2025-20282 (CVSS skóre 10,0)

CVE-2025-2028 spočíva v absencii overovania nahrávaných súborov, čo možno zneužiť na ich nahratie do privilegovaných priečinkov na súborovom systéme zariadenia. Tak môže útočník získať možnosť eskalácie privilégií na úroveň používateľa root a vzdialene vykonávať kód.

Spoločnosť Cisco zaznamenala v júli 2025 prvé pokusy o zneužitie vyššie uvedených zraniteľností.

Možné škody:

• Eskalácia privilégií
• Vzdialené vykonanie kódu
• Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom Cisco Identity Services Engine (ISE) and Cisco ISE Passive Identity Connector odporúčame bezodkladnú inštaláciu záplat Patch 7 pre verziu 3.3 a Patch 2 pre verziu 3.4.

Zdroje:

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6
• https://thehackernews.com/2025/06/critical-rce-flaws-in-cisco-ise-and-ise.html