Cisco rilascia aggiornamenti per vulnerabilità critiche in Identity Services Engine
Cisco ha recentemente rilasciato aggiornamenti per affrontare due gravi vulnerabilità di sicurezza in Identity Services Engine (ISE) e ISE Passive Identity Connector (ISE-PIC). Queste falle di sicurezza, identificate con i codici CVE-2025-20281 e CVE-2025-20282, presentano un punteggio CVSS di 10.0 ciascuna, il che le rende estremamente critiche.
CVE-2025-20281 – Questa vulnerabilità consente l’esecuzione di codice remoto non autenticato e riguarda le versioni di Cisco ISE e ISE-PIC dalla 3.3 in poi. Un attaccante remoto non autenticato potrebbe sfruttare questa falla per eseguire codice arbitrario sul sistema operativo sottostante con privilegi di root. Il problema deriva da una convalida insufficiente degli input forniti dall’utente, che un attaccante potrebbe sfruttare inviando una richiesta API appositamente creata per ottenere privilegi elevati e eseguire comandi.
CVE-2025-20282 – Questa vulnerabilità, anch’essa di esecuzione di codice remoto non autenticato, interessa la versione 3.4 di Cisco ISE e ISE-PIC. Un attaccante potrebbe caricare file arbitrari su un dispositivo vulnerabile ed eseguire tali file sul sistema operativo sottostante con privilegi di root. La falla è causata dalla mancanza di controlli di convalida dei file, che altrimenti impedirebbero il posizionamento dei file caricati in directory privilegiate.
Cisco ha dichiarato che non esistono soluzioni alternative per affrontare questi problemi. Tuttavia, le vulnerabilità sono state risolte nelle seguenti versioni:
CVE-2025-20281 – Cisco ISE o ISE-PIC 3.3 Patch 6 (ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz), 3.4 Patch 2 (ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz).
CVE-2025-20282 – Cisco ISE o ISE-PIC 3.4 Patch 2 (ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz).
La società ha riconosciuto Bobby Gould di Trend Micro Zero Day Initiative e Kentaro Kawane di GMO Cybersecurity per la segnalazione della vulnerabilità CVE-2025-20281. Kawane, che in precedenza aveva segnalato CVE-2025-20286 (punteggio CVSS: 9.9), è stato anche riconosciuto per la segnalazione di CVE-2025-20282.
Sebbene non ci siano prove che queste vulnerabilità siano state sfruttate in natura, è essenziale che gli utenti applichino rapidamente le correzioni per proteggersi da potenziali minacce.
Fonte: The Hackers News
