Cisco ha publicado actualizaciones para solucionar dos fallas de seguridad críticas en Identity Services Engine (ISE) que podrían permitir a atacantes remotos ejecutar comandos arbitrarios y elevar privilegios en dispositivos susceptibles.
Las vulnerabilidades se enumeran a continuación:
- CVE-2025-20124 (CVSS: 9,9): una vulnerabilidad de deserialización insegura de Java en una API de Cisco ISE que podría permitir a un atacante remoto autenticado ejecutar comandos arbitrarios como usuario root en un dispositivo afectado.
- CVE-2025-20125 (CVSS: 9,1): una vulnerabilidad de omisión de autorización en una API de Cisco ISE podría permitir a un atacante remoto autenticado con credenciales de solo lectura válidas obtener información confidencial, cambiar configuraciones de nodos y reiniciar el nodo.
Un atacante podría utilizar cualquiera de las fallas como arma enviando un objeto Java serializado especialmente diseñado o una solicitud HTTP a un punto final de API no especificado, lo que lleva a un escalamiento de privilegios y ejecución de código.
Cisco afirmó que las dos vulnerabilidades no dependen una de la otra y que no existen soluciones alternativas para mitigarlas. Se han abordado en las siguientes versiones:
- Versión 3.0 del software Cisco ISE (migrar a una versión corregida)
- Versión 3.1 del software Cisco ISE (corregida en 3.1P10)
- Versión 3.2 del software Cisco ISE (corregida en 3.2P7)
- Versión 3.3 del software Cisco ISE (corregida en 3.3P4)
- Versión 3.4 del software Cisco ISE (no vulnerable)
A los investigadores de seguridad de Deloitte Dan Marin y Sebastian Radulea se les atribuye el descubrimiento y la reparación de las vulnerabilidades.
Si bien el fabricante afirmó que no tiene conocimiento de ninguna explotación maliciosa de las fallas, se recomienda a los usuarios que mantengan sus sistemas actualizados para una protección óptima.
Fuente: THN