Cisco ha identificado vulnerabilidades críticas en sus productos Cisco Identity Services Engine (ISE) y Cisco ISE Passive Identity Connector (ISE-PIC). Estas fallas permiten a atacantes autenticados con privilegios de solo lectura ejecutar comandos arbitrarios y eludir controles de autorización.
- CVE-2025-20124 (CVSS 9.9): Una vulnerabilidad de deserialización insegura de datos Java en una API de Cisco ISE/ISE-PIC permite a un atacante remoto autenticado ejecutar comandos como usuario root. El fallo se debe a la manipulación de objetos Java serializados, lo que corrompe procesos internos y facilita la escalada de privilegios.
- CVE-2025-20125 (CVSS 9.1): Un bypass de autorización en una API de Cisco ISE/ISE-PIC permite a un atacante con credenciales de solo lectura acceder a información confidencial, modificar configuraciones del sistema y reiniciar dispositivos. La vulnerabilidad surge por validación inadecuada de solicitudes HTTP y falta de controles de autorización (CWE-285).
| CVE | Producto Afectado | Versión Afectada | Solución |
| CVE-2025-20124 | Cisco Identity Services Engine Software | Desde la versión 3.0.0 hasta la 3.0.0P6 | Migrar a una versión parcheada |
| Desde la versión 3.1 hasta la 3.1.0P9 | Actualizar a la versión 3.1P10 o superior | ||
| Desde la versión 3.2 hasta la 3.2P6 | Actualizar a la versión 3.2P7 o superior | ||
| Desde la versión 3.3 hasta la 3.3P3 | Actualizar a la versión 3.3P4 o superior | ||
| CVE-2025-20125 | Cisco ISE Passive Identity Connector | Versión 3.0.0 | Migrar a una versión parcheada |
| Versión 3.2.0 | Actualizar a la versión 3.1P10 o superior | ||
| Versión 3.1.0 | Actualizar a la versión 3.2P7 o superior | ||
| Versión 3.3.0 | Actualizar a la versión 3.3P4 o superior |
Recomendaciones:
- Actualizar inmediatamente los dispositivos Cisco ISE e ISE-PIC a las versiones seguras indicadas.
- Restringir privilegios administrativos de solo lectura a roles esenciales y aplicar políticas de mínimo privilegio.
- Monitorear registros de acceso a APIs para detectar intentos de explotación o actividades anómalas.
Referencias:
- Cisco Security Advisory: Cisco Identity Services Engine Insecure Java Deserialization and Authorization Bypass Vulnerabilities
- CVE-2025-20125 – Cisco Identity Services Engine Insufficient Authorization Bypass Vulnerability
- CVE-2025-20124 – Cisco Identity Services Engine Java Deserialization Vulnerability
- https://www.cve.org/CVERecord?id=CVE-2025-20124
- https://www.cve.org/CVERecord?id=CVE-2025-20125