Kritické zraniteľnosti v Cisco ISE a ISE-PIC umožňujú vzdialené vykonanie príkazov
Spoločnosť Cisco vydala bezpečnostné aktualizácie pre produkty Cisco Identity Services Engine (ISE) and Cisco ISE Passive Identity Connector (ISE-PIC), ktoré opravujú tri kritické bezpečnostné zraniteľnosti. CVE-2025-20337, CVE-2025-20281 a CVE-2025-20282 by útočník mohol zneužiť na vzdialené vykonanie kódu v mene používateľa root a získanie úplnej kontroly nad systémom.
[Aktualizované 29.7.2025]
CISA zaradila všetky tri zraniteľnosti do zoznamu aktívne zneužívaných 28.7.2025.
Zraniteľné systémy:
- Cisco ISE a ISE-PIC 3.3 bez inštalovanej záplaty Patch 7
- Cisco ISE a ISE-PIC 3.4 bez inštalovanej záplaty Patch 2
Opis zraniteľnosti:
CVE-2025-20281 a CVE-2025-20337 (CVSS skóre 10,0)
Kritické zraniteľnosti spočívajú v nedostatočnom overovaní používateľských vstupov v rámci bližšie nešpecifikovaného ISE API rozhrania. Vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorených API požiadaviek mohol zneužiť na získanie privilégií používateľa root a vzdialené vykonanie príkazov operačného systému zariadenia.
CVE-2025-20282 (CVSS skóre 10,0)
CVE-2025-2028 spočíva v absencii overovania nahrávaných súborov, čo možno zneužiť na ich nahratie do privilegovaných priečinkov na súborovom systéme zariadenia. Tak môže útočník získať možnosť eskalácie privilégií na úroveň používateľa root a vzdialene vykonávať kód.
Spoločnosť Cisco zaznamenala v júli 2025 prvé pokusy o zneužitie vyššie uvedených zraniteľností.
Možné škody:
- Eskalácia privilégií
- Vzdialené vykonanie kódu
- Získanie úplnej kontroly nad systémom
Odporúčania:
Administrátorom Cisco Identity Services Engine (ISE) and Cisco ISE Passive Identity Connector odporúčame bezodkladnú inštaláciu záplat Patch 7 pre verziu 3.3 a Patch 2 pre verziu 3.4.
Zdroje: