Krytyczna podatność w Cisco Identity Services Engine (ISE) oraz Cisco ISE Passive Identity Connector (ISE-PIC) umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na systemie operacyjnym urządzenia z uprawnieniami root. Brak wymogu posiadania jakichkolwiek poświadczeń sprawia, że próg wejścia dla atakującego jest zerowy, a podatność jest aktywnie wykorzystywana w środowiskach produkcyjnych.
▸ Pokaż oryginał (EN)
A vulnerability in a specific API of Cisco ISE and Cisco ISE-PIC could allow an unauthenticated, remote attacker to execute arbitrary code on the underlying operating system as root. The attacker does not require any valid credentials to exploit this vulnerability. This vulnerability is due to insufficient validation of user-supplied input. An attacker could exploit this vulnerability by submitting a crafted API request. A successful exploit could allow the attacker to obtain root privileges on an affected device.
Podatność wynika z niewystarczającej walidacji danych dostarczanych przez użytkownika do konkretnego punktu końcowego API (CWE-74 — injection). Atakujący wysyła specjalnie spreparowane żądanie do narażonego API bez konieczności uwierzytelniania. Nieprawidłowo przetworzony payload pozwala na wstrzyknięcie i wykonanie arbitralnego kodu bezpośrednio w kontekście systemu operacyjnego urządzenia.
Skuteczne wykorzystanie podatności daje atakującemu pełne uprawnienia root na zaatakowanym urządzeniu, co oznacza całkowite przejęcie kontroli nad systemem, możliwość odczytu i modyfikacji wszelkich danych (w tym konfiguracji tożsamości i polityk dostępu), a także potencjalny lateral movement w infrastrukturze sieciowej organizacji.
Należy natychmiast zastosować patche dostępne u producenta zgodnie z oficjalnym Cisco Security Advisory: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6. Do czasu wdrożenia łatki zaleca się ograniczenie dostępu do API Cisco ISE wyłącznie do zaufanych hostów na poziomie firewall/ACL oraz bieżące monitorowanie logów pod kątem nieoczekiwanych żądań API.
Cisco Identity Services Engine (ISE) oraz Cisco Identity Services Engine Passive Identity Connector (ISE-PIC) — konkretne wersje wskazane w referencjach producenta (Cisco Security Advisory cisco-sa-ise-unauth-rce-ZAd2GnJ6)
Podatność figuruje w katalogu CISA Known Exploited Vulnerabilities (KEV), co potwierdza aktywne wykorzystanie w środowiskach produkcyjnych. CVSS 10.0 — maksymalny możliwy wynik, wektor sieciowy bez wymagań uwierzytelnienia i interakcji użytkownika.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HCisco Identity Services Engine
APPCisco3.3.03.4.0Cisco Identity Services Engine Passive Identity Connector
APPCisco3.3.03.4.0
CISA KEV — szczegółyi
- Dostawcai
- Cisco ↗
- Produkti
- Identity Services Engine
- Data dodania do KEVi
- 28 lipca 2025
- Termin remediation (USA)i
- 18 sierpnia 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług w chmurze lub wstrzymaj użytkowanie produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Cisco Identity Services Engine zawiera lukę typu injection w specjalnym API Cisco ISE i Cisco ISE-PIC ze względu na niedostateczną walidację danych dostarczonych przez użytkownika, co pozwala atakującemu wykorzystać tę lukę poprzez wysłanie spreparowanego żądania API. Pomyślne wykorzystanie może pozwolić atakującemu na wykonanie RCE i uzyskanie uprawnień root na zaatakowanym urządzeniu.
▸ Pokaż oryginał (EN)
Cisco Identity Services Engine contains an injection vulnerability in a specific API of Cisco ISE and Cisco ISE-PIC due to insufficient validation of user-supplied input allowing an attacker to exploit this vulnerability by submitting a crafted API request. Successful exploitation could allow an attacker to perform remote code execution and obtaining root privileges on an affected device.
Powiązane podatności
Nieuwierzytelniony RCE jako root w Cisco ISE i ISE-PIC poprzez API
A vulnerability in Cisco ISE and ISE-PIC could allow an authenticated, remote attacker to execute arbitrary co...
RCE w Cisco ISE — eskalacja uprawnień do root przez HTTP
Nieautoryzowany RCE jako root w Cisco ISE i ISE-PIC
Cisco ISE w chmurze: współdzielone statyczne poświadczenia umożliwiają nieautoryzowany dostęp