Vulnerabilidades críticas detectadas en Cisco ISE e ISE-PIC

Cisco ha reportado dos vulnerabilidades críticas que afectan a su plataforma Cisco Identity Services Engine (ISE) y al conector Cisco ISE Passive Identity Connector (ISE-PIC). Estas fallas permiten a atacantes remotos no autenticados ejecutar código arbitrario con privilegios de root en los sistemas afectados.

A continuación, se detallan las vulnerabilidades reportadas:

  • CVE-2025-20281 (CVSS 10.0): Esta vulnerabilidad se encuentra en una API específica de Cisco ISE e ISE-PIC. La falta de validación adecuada de la entrada proporcionada por el usuario permite a un atacante remoto enviar solicitudes API especialmente diseñadas para ejecutar comandos arbitrarios en el sistema operativo subyacente con privilegios de root.
  • CVE-2025-20282 (CVSS 10.0): Esta falla reside en una API interna de Cisco ISE e ISE-PIC. La ausencia de controles de validación de archivos permite a un atacante remoto cargar archivos arbitrarios en directorios privilegiados del sistema afectado y luego ejecutarlos con privilegios de root.

Productos Afectados y Solución

Productos AfectadosSolución
Cisco ISE e ISE-PIC versiones 3.3 y posterioresActualizar a Cisco ISE e ISE-PIC 3.3 Patch 6 o 3.4 Patch 2
Cisco ISE e ISE-PIC versión 3.4Actualizar a Cisco ISE e ISE-PIC 3.4 Patch 2

Recomendaciones

  • Implementar las actualizaciones de seguridad proporcionadas por Cisco para las versiones afectadas.
  • Realizar un análisis exhaustivo de los sistemas para detectar posibles indicios de compromiso.
  • Restringir el acceso a las APIs expuestas únicamente a fuentes confiables y necesarias.
  • Establecer mecanismos de monitoreo y alerta para detectar actividades inusuales o sospechosas en los sistemas.

Referencias: