CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2025-20281

Cisco ISE / ISE-PIC — nieuwierzytelniony RCE przez API jako root

CVSS 10.0v3.1pub. 2025-06-25upd. 2025-10-28

Krytyczna podatność w Cisco Identity Services Engine (ISE) oraz Cisco ISE Passive Identity Connector (ISE-PIC) umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na systemie operacyjnym urządzenia z uprawnieniami root. Brak wymogu posiadania jakichkolwiek poświadczeń sprawia, że próg wejścia dla atakującego jest zerowy, a podatność jest aktywnie wykorzystywana w środowiskach produkcyjnych.

Pokaż oryginał (EN)

A vulnerability in a specific API of Cisco ISE and Cisco ISE-PIC could allow an unauthenticated, remote attacker to execute arbitrary code on the underlying operating system as root. The attacker does not require any valid credentials to exploit this vulnerability. This vulnerability is due to insufficient validation of user-supplied input. An attacker could exploit this vulnerability by submitting a crafted API request. A successful exploit could allow the attacker to obtain root privileges on an affected device.

🤖 Analiza AI
Jak działa

Podatność wynika z niewystarczającej walidacji danych dostarczanych przez użytkownika do konkretnego punktu końcowego API (CWE-74 — injection). Atakujący wysyła specjalnie spreparowane żądanie do narażonego API bez konieczności uwierzytelniania. Nieprawidłowo przetworzony payload pozwala na wstrzyknięcie i wykonanie arbitralnego kodu bezpośrednio w kontekście systemu operacyjnego urządzenia.

Skutki

Skuteczne wykorzystanie podatności daje atakującemu pełne uprawnienia root na zaatakowanym urządzeniu, co oznacza całkowite przejęcie kontroli nad systemem, możliwość odczytu i modyfikacji wszelkich danych (w tym konfiguracji tożsamości i polityk dostępu), a także potencjalny lateral movement w infrastrukturze sieciowej organizacji.

Mitygacja

Należy natychmiast zastosować patche dostępne u producenta zgodnie z oficjalnym Cisco Security Advisory: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6. Do czasu wdrożenia łatki zaleca się ograniczenie dostępu do API Cisco ISE wyłącznie do zaufanych hostów na poziomie firewall/ACL oraz bieżące monitorowanie logów pod kątem nieoczekiwanych żądań API.

Kogo dotyczy

Cisco Identity Services Engine (ISE) oraz Cisco Identity Services Engine Passive Identity Connector (ISE-PIC) — konkretne wersje wskazane w referencjach producenta (Cisco Security Advisory cisco-sa-ise-unauth-rce-ZAd2GnJ6)

Uwagi

Podatność figuruje w katalogu CISA Known Exploited Vulnerabilities (KEV), co potwierdza aktywne wykorzystanie w środowiskach produkcyjnych. CVSS 10.0 — maksymalny możliwy wynik, wektor sieciowy bez wymagań uwierzytelnienia i interakcji użytkownika.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Cisco Identity Services Engine

    APP
    Cisco
    3.3.03.4.0
  • Cisco Identity Services Engine Passive Identity Connector

    APP
    Cisco
    3.3.03.4.0

CISA KEV — szczegółyi

Dostawcai
Cisco
Produkti
Identity Services Engine
Data dodania do KEVi
28 lipca 2025
Termin remediation (USA)i
18 sierpnia 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług w chmurze lub wstrzymaj użytkowanie produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Cisco Identity Services Engine zawiera lukę typu injection w specjalnym API Cisco ISE i Cisco ISE-PIC ze względu na niedostateczną walidację danych dostarczonych przez użytkownika, co pozwala atakującemu wykorzystać tę lukę poprzez wysłanie spreparowanego żądania API. Pomyślne wykorzystanie może pozwolić atakującemu na wykonanie RCE i uzyskanie uprawnień root na zaatakowanym urządzeniu.

tłumaczenie AI
Pokaż oryginał (EN)

Cisco Identity Services Engine contains an injection vulnerability in a specific API of Cisco ISE and Cisco ISE-PIC due to insufficient validation of user-supplied input allowing an attacker to exploit this vulnerability by submitting a crafted API request. Successful exploitation could allow an attacker to perform remote code execution and obtaining root privileges on an affected device.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 18 sierpnia 2025
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-20337CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Nieuwierzytelniony RCE jako root w Cisco ISE i ISE-PIC poprzez API

CVE-2026-20181CRITICAL9.1ten sam produkt

A vulnerability in Cisco ISE and ISE-PIC could allow an authenticated, remote attacker to execute arbitrary co...

CVE-2026-20186CRITICAL9.9PL ✓ten sam produkt

RCE w Cisco ISE — eskalacja uprawnień do root przez HTTP

CVE-2025-20282CRITICAL10.0PL ✓ten sam produkt

Nieautoryzowany RCE jako root w Cisco ISE i ISE-PIC

CVE-2025-20286CRITICAL9.9PL ✓ten sam produkt

Cisco ISE w chmurze: współdzielone statyczne poświadczenia umożliwiają nieautoryzowany dostęp