Las actualizaciones de seguridad abordan dos nuevas vulnerabilidades que afectan a los productos Cisco Identity Services Engine (ISE) y Cisco Passive Identity Connector (ISE-PIC). Estas vulnerabilidades podrían permitir que un actor malicioso ejecute código arbitrario de forma remota en los sistemas afectados.
Productos afectados
- 3.3.x, versiones anteriores a 3.3 Patch 6 ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz
- 3.4.x, versiones anteriores a 3.4 Patch 2 ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-20282: con una puntuación de 10.0 en CVSS v3.1. Existe una vulnerabilidad de falta de comprobaciones de validación de archivos que impedirían que los archivos cargados se colocaran en directorios privilegiados en un sistema afectado, que podría permitir a un actor malicioso remoto almacenar archivos maliciosos en el sistema afectado y luego ejecutar código arbitrario u obtener privilegios de root.
CVE-2025-20281: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de validación insuficiente de la información proporcionada por el usuario, que podría permitir a un actor malicioso remoto obtener privilegios de root en un dispositivo afectado, mediante una solicitud de API manipulada.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-20281
- https://www.cve.org/CVERecord?id=CVE-2025-20282
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6