Cisco ha publicado parches de emergencia para corregir dos vulnerabilidades críticas que afectan a su plataforma Identity Services Engine (ISE) y al ISE Passive Identity Connector (ISE-PIC). Ambas fallas, identificadas como CVE-2025-20281 y CVE-2025-20282, tienen una puntuación CVSS de 10.0, el máximo nivel de severidad.
Estas vulnerabilidades permiten a un atacante remoto y no autenticado ejecutar comandos arbitrarios en el sistema operativo subyacente con privilegios de root, lo que representa un riesgo extremo para organizaciones que utilizan ISE como núcleo de su infraestructura de control de acceso a red (NAC).
🔍 Detalles Técnicos
- CVE-2025-20281:
Afecta a ISE e ISE-PIC versiones 3.3 y 3.4.
Se origina por una validación insuficiente de entradas en una API expuesta, lo que permite a un atacante enviar una solicitud especialmente diseñada y ejecutar comandos como root. - CVE-2025-20282:
Afecta exclusivamente a ISE e ISE-PIC versión 3.4.
Se debe a una falta de validación de archivos en una API interna, lo que permite subir archivos maliciosos a directorios privilegiados y ejecutarlos con permisos de root.
Ambas fallas son independientes y no requieren que una sea explotada para que la otra funcione. Cisco ha confirmado que no existen soluciones alternativas y que no se ha detectado explotación activa, pero urge a los usuarios a aplicar los parches inmediatamente.
🛠️ Versiones Corregidas
- Para CVE-2025-20281:
- ISE/ISE-PIC 3.3 Patch 6
- ISE/ISE-PIC 3.4 Patch 2
- Para CVE-2025-20282:
- ISE/ISE-PIC 3.4 Patch 2
