Cisco telah menerbitkan sebuah buletin untuk memperingatkan tentang dua kerentanan kritis yang tidak autentikasi kode jarak jauh (RCE) yang mempengaruhi Cisco Identity Services Engine (ISE) dan konektor identitas pasif (ISE-PIC).
Kekurangannya, dilacak di bawah CVE-2025-20281 Dan CVE-2025-20282dinilai dengan tingkat keparahan maks (skor CVSS: 10.0). Dampak pertama versi ISE dan ISE-PIC 3.4 dan 3.3, sedangkan yang kedua hanya mempengaruhi versi 3.4.
Akar penyebab CVE-2025-20281 adalah validasi yang tidak memadai dari input yang disediakan pengguna dalam API yang terpapar spesifik. Hal ini memungkinkan penyerang jarak jauh yang tidak aautentikasi untuk mengirim permintaan API yang dibuat khusus untuk menjalankan perintah sistem operasi yang sewenang -wenang sebagai pengguna root.
Edisi kedua, CVE-2025-20282, disebabkan oleh validasi file yang buruk di API internal, yang memungkinkan file ditulis ke direktori istimewa. Kelemahannya memungkinkan penyerang jarak jauh yang tidak aautitikasi untuk mengunggah file sewenang -wenang ke sistem target dan menjalankannya dengan hak istimewa root.
Cisco Identity Services Engine (ISE) adalah platform manajemen kebijakan keamanan jaringan dan kontrol akses yang digunakan oleh organisasi untuk mengelola koneksi jaringan mereka, berfungsi sebagai kontrol akses jaringan (NAC), manajemen identitas, dan alat penegakan kebijakan.
Produk ini biasanya digunakan oleh perusahaan besar, organisasi pemerintah, universitas, dan penyedia layanan, duduk di inti dari jaringan perusahaan.
Dua kekurangan yang berdampak itu dapat memungkinkan kompromi lengkap dan pengambilalihan jarak jauh dari perangkat target tanpa otentikasi atau interaksi pengguna.
Cisco Tercatat dalam Buletin Bahwa tidak mengetahui adanya kasus eksploitasi aktif untuk dua kekurangan, tetapi menginstal pembaruan baru harus diprioritaskan.
Pengguna disarankan untuk meningkatkan ke 3.3 Patch 6 (ISE-Apply-CSCWO99449_3.3.0.430_Patch4) dan 3.4 Patch 2 (ISE-APPLY-CSCWO99449_3.4.0.608_Patch1) atau lebih baru. Tidak ada solusi yang disediakan untuk mengurangi kekurangan, jadi menerapkan pembaruan keamanan adalah solusi yang disarankan.
Cisco juga menerbitkan buletin terpisah Mengenai cacat bypass otentikasi medium-medium, dilacak sebagai CVE-2025-20264yang juga berdampak pada ISE.
Kelemahan ini disebabkan oleh penegakan otorisasi yang tidak memadai untuk pengguna yang dibuat melalui integrasi SOML SSO dengan penyedia identitas eksternal. Penyerang dengan kredensial SSO-autentikasi yang valid dapat mengirim urutan perintah tertentu untuk memodifikasi pengaturan sistem atau melakukan restart sistem.
CVE-2025-20264 memengaruhi semua versi ISE hingga cabang 3.4. Perbaikan tersedia dalam 3.4 Patch 2 dan 3.3 Patch 5. Vendor berjanji untuk memperbaiki cacat untuk 3,2 dengan rilis 3,2 Patch 8, direncanakan untuk November 2025.
ISE 3.1 dan sebelumnya juga terpengaruh tetapi tidak lagi didukung, dan pengguna disarankan untuk bermigrasi ke cabang rilis yang lebih baru.
Mengapa timnya membuang manajemen tambalan manual
Patching digunakan untuk berarti skrip yang kompleks, berjam -jam, dan latihan api yang tak ada habisnya. Tidak lagi.
Dalam panduan baru ini, tines meruntuhkan bagaimana modern IT Orgs naik level dengan otomatisasi. Patch lebih cepat, mengurangi overhead, dan fokus pada pekerjaan strategis – tidak ada skrip kompleks yang diperlukan.
