El pasado 25 de junio, Cisco publicó un parche urgente para corregir tres vulnerabilidades de ejecución remota de código (RCE) no autenticadas en Identity Services Engine (ISE) y Passive Identity Connector (ISE‑PIC), consideradas de riesgo crítico. Estas vulnerabilidades podrían permitir a un atacante sin credenciales obtener privilegios de root en el sistema.
Cisco ha identificado tres vulnerabilidades críticas en sus plataformas Cisco ISE y ISE‑PIC:
CVE‑2025‑20282: un atacante no autenticado podría subir ficheros maliciosos a directorios privilegiados usando una API interna con controles de validación insuficientes, posibilitando la ejecución de código o la obtención de acceso root. También calificado con CVSS: 10.
CVE‑2025‑20281: permite a un atacante remoto no autenticado ejecutar código arbitrario como root mediante llamadas a una API específica, debido a una insuficiente validación de entrada. CVSS: 10.
CVE‑2025‑20337: fallo adicional de RCE sin autenticación en la misma API, también con puntuación máxima de CVSS: 10.
Productos Afectados
La empresa ha publicado recientemente un aviso de seguridad sobre sus productos afectados:
Solución
Cisco recomienda actualizar y parchear los productos afectados, para ello ha publicado actualizaciones de software gratuitas, que solucionan las vulnerabilidades descritas y pueden ser descargadas desde el Centro de Software.
Cisco recomienda actualizar urgentemente a:
- Release 3.3 Patch 7, si estás en alguna versión de la serie 3.3.
- Release 3.4 Patch 2, si utilizas una versión de la serie 3.4.
- Las «hot‑patches» anteriores no corrigen CVE‑2025‑20337.
Explotación y contexto
En julio de 2025 se observó actividad en la que se explotaban las vulnerabilidades descritas CVE‑2025‑20281 y CVE‑2025‑20337 en entornos reales, lo que aumenta la urgencia de actualizar.
Organismos como CERT‑EU también han advertido de la criticidad de estas vulnerabilidades y urgido su rápida mitigación.
Más información:
Cisco Security Advisory: https://tools.cisco.com/security/center/publicationListing.x
Centro de Software: https://software.cisco.com/download/home
CERT-EU: https://cert.europa.eu/publications/security-advisories/2025-025/
La entrada Cisco lanza actualización que corrige tres vulnerabilidades críticas en ISE e ISE‑PIC se publicó primero en Una Al Día.
☞ El artículo completo original de Juan González lo puedes ver aquí
No hay comentarios.:
Publicar un comentario