Cisco lanza actualización que corrige tres vulnerabilidades críticas en ISE e ISE‑PIC

Cisco ha publicado un parche para corregir tres vulnerabilidades remotas de ejecución de código (RCE) sin autenticación en Identity Services Engine (ISE) y ISE Passive Identity Connector (ISE‑PIC), todas con una puntuación máxima de CVSS (10.0), lo que las convierte en errores de riesgo crítico que permiten a un atacante obtener privilegios de root en los sistemas afectados.

Las vulnerabilidades identificadas son:

• CVE‑2025‑20281: ejecución de código arbitrario vía API específica con validación insuficiente de entrada.
• CVE‑2025‑20282: posibilita la carga y ejecución de archivos maliciosos en directorios privilegiados mediante una API interna sin chequeos adecuados.
• CVE‑2025‑20337: una nueva falla RCE en la misma API afectada por CVE‑2025‑20281, también derivada de validación insuficiente de entrada.

Productos afectados:

• Cisco ISE e ISE‑PIC Releases 3.3 (hasta Patch 6) y 3.4 (hasta Patch 1) están vulnerables ante las tres fallas mencionadas.
• Las versiones 3.2 y anteriores no están afectadas por estas vulnerabilidades.

Solución y mitigación:

• No existen soluciones temporales (workarounds). La única forma de mitigar es aplicar los parches adecuado.

Versiones con las correcciones publicadas:

• ISE/ISE‑PIC 3.4 → parche Patch 2
• ISE/ISE‑PIC 3.3 → parche Patch 7
• Si ya se aplicaron hot patches como ise‑apply‑CSCwo99449_3.3.0.430_patch4-SPA.tar.gz o similar, se recomienda igualmente migrar a los parches oficiales mencionados, ya que esos hotfixes no corrigen CVE‑2025‑20337

Recomendaciones:

• Actualiza Cisco ISE a la versión 3.4 Patch 2 o 3.3 Patch 7, ya que versiones anteriores —incluso con hotfixes— no corrigen todas las vulnerabilidades críticas (CVE‑2025‑20281, CVE‑2025‑20282 y CVE‑2025‑20337).
• Limita el acceso a las interfaces administrativas desde redes seguras, revisa logs de actividad en busca de comportamientos sospechosos y aplica controles adicionales como ACLs o firewalls para proteger APIs vulnerables.
• Implementa escaneos regulares, revisa el Cisco Security Advisory Center, y asegúrate de que los sistemas críticos estén siempre actualizados con versiones soportadas y libres de vulnerabilidades conocidas.

Referencias:

• https://unaaldia.hispasec.com/2025/08/cisco-lanza-actualizacion-que-corrige-tres-vulnerabilidades-criticas-en-ise-e-ise%E2%80%91pic.html
• https://csirt.telconet.net/comunicacion/noticias-seguridad/vulnerabilidades-criticas-en-cisco-ise-e-ise-pic/
• https://sec.cloudapps.cisco.com/security/center/publicationListing.x