Múltiples vulnerabilidades en Cisco Identity Services Engine (ISE)
Estas vulnerabilidades afectan a Cisco ISE y Cisco ISE Passive Identity Connector (ISE-PIC), independientemente de la configuración del dispositivo. Para obtener información sobre qué versiones de software de Cisco son vulnerables, consulte la sección "Fixed Software" del aviso enlazado en referencias.
Dan Marin y Sebastian Radulea de Deloitte han informado de 2 vulnerabilidades de severidad crítica que podrían permitir que un atacante remoto autenticado ejecute comandos de forma arbitraria como usuario root en el dispositivo afectado, y también que pueda acceder a información sensible, modificar la configuración de los nodos y reiniciarlos.
Cisco ha publicado actualizaciones gratuitas que solucionan la vulnerabilidad.
No existe ninguna mitigación alternativa a parte de la actualización.
Las vulnerabilidades son las siguientes, ambas catalogadas como críticas.
- CVE-2025-20124: vulnerabilidad de deserialización de Java no segura en Cisco ISE. Una vulnerabilidad en una API de Cisco ISE podría permitir que un atacante remoto autenticado ejecute comandos arbitrarios como usuario root en un dispositivo afectado.
- CVE-2025-20125: vulnerabilidad de omisión de autorización de Cisco ISE. Una vulnerabilidad en una API de Cisco ISE podría permitir que un atacante remoto autenticado con credenciales de solo lectura válidas obtenga información confidencial, cambie las configuraciones del nodo y reinicie el nodo.
Las vulnerabilidades son independientes entre sí, la explotación de una de ellas no requiere que la otra también deba ser explotada. Asimismo, para aprovechar estas vulnerabilidades con éxito, el atacante debe tener credenciales administrativas válidas de solo lectura.
