Se ha identificado una vulnerabilidad crítica (CVE-2025-20337) en Cisco Identity Services Engine (ISE) que permite a atacantes remotos no autenticados ejecutar comandos arbitrarios con privilegios de root en dispositivos afectados. Esta falla es causada por una validación insuficiente de entradas en solicitudes API.
- CVE-2025-20337 (CVSS 10.0): Un atacante puede enviar una solicitud API especialmente diseñada para almacenar archivos maliciosos, ejecutar código o escalar privilegios hasta root en Cisco ISE o ISE-PIC, sin necesidad de autenticación previa.
También se actualizaron los boletines de las vulnerabilidades CVE-2025-20281 y CVE-2025-20282, que afectan los mismos productos con severidad máxima. Todas pueden ser explotadas de forma independiente.
Productos y Versiones afectadas
| Producto | CVE-2025-20281 | CVE-2025-20282 | CVE-2025-20337 |
|---|---|---|---|
| Cisco ISE / ISE-PIC ≤ 3.2 | No vulnerable | No vulnerable | No vulnerable |
| Cisco ISE / ISE-PIC 3.3 | 3.3 Patch 7 | No vulnerable | 3.3 Patch 7 |
| Cisco ISE / ISE-PIC 3.4 | 3.4 Patch 2 | 3.4 Patch 2 | 3.4 Patch 2 |
Cisco aclara que los parches anteriores (como ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz) no corrigen la vulnerabilidad CVE-2025-20337 y deben ser reemplazados por las versiones oficiales mencionadas.
Solución
Actualizar inmediatamente a las siguientes versiones que corrigen las vulnerabilidades:
- Cisco ISE / ISE-PIC 3.3 Patch 7
- Cisco ISE / ISE-PIC 3.4 Patch 2
No existen soluciones alternativas ni mitigaciones temporales. Es obligatorio actualizar para corregir la falla.
Recomendaciones
- Verificar si el sistema Cisco ISE o ISE-PIC ejecuta versiones 3.3 o 3.4.
- Aplicar únicamente las versiones de parche oficiales listadas por Cisco.
- Validar que el sistema tenga los recursos suficientes antes de actualizar.
- Comprobar compatibilidad de la nueva versión con hardware y software actuales.
- Evitar el uso de hot patches no oficiales retirados por Cisco.
- Aunque no se han detectado explotaciones activas, se recomienda acción inmediata.
Referencias
- https://securityaffairs.com/180044/security/cisco-patches-critical-cve-2025-20337-bug-in-identity-services-engine-with-cvss-10-severity.html
- https://www.bleepingcomputer.com/news/security/max-severity-cisco-ise-bug-allows-pre-auth-command-execution-patch-now/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6
- https://www.incibe.es/index.php/incibe-cert/alerta-temprana/vulnerabilidades/cve-2025-20337
- https://www.darkreading.com/application-security/cisco-cvss-10-flaw-ise-ise-pic-patch-now
- https://www.wiz.io/vulnerability-database/cve/cve-2025-20337