CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2025-20337

Nieuwierzytelniony RCE jako root w Cisco ISE i ISE-PIC poprzez API

CVSS 10.0v3.1pub. 2025-07-16upd. 2025-10-28

Krytyczna podatność w Cisco Identity Services Engine (ISE) i ISE-PIC umożliwia nieuwierzytelnionemu, zdalnemu atakującemu wykonanie dowolnego kodu z uprawnieniami root. Brak wymogu jakichkolwiek poświadczeń czyni tę podatność wyjątkowo groźną, zwłaszcza że jest aktywnie wykorzystywana przez atakujących.

Pokaż oryginał (EN)

A vulnerability in a specific API of Cisco ISE and Cisco ISE-PIC could allow an unauthenticated, remote attacker to execute arbitrary code on the underlying operating system as root. The attacker does not require any valid credentials to exploit this vulnerability. This vulnerability is due to insufficient validation of user-supplied input. An attacker could exploit this vulnerability by submitting a crafted API request. A successful exploit could allow the attacker to obtain root privileges on an affected device.

🤖 Analiza AI
Jak działa

Podatność wynika z niewystarczającej walidacji danych dostarczanych przez użytkownika w konkretnym interfejsie API produktu (CWE-74 — injection). Atakujący może przesłać specjalnie spreparowane żądanie do podatnego API bez konieczności uwierzytelnienia. Skuteczne wykorzystanie podatności prowadzi do wykonania dowolnego kodu na poziomie systemu operacyjnego z uprawnieniami root.

Skutki

Atakujący uzyskuje pełną kontrolę nad systemem operacyjnym urządzenia z uprawnieniami root, co umożliwia dowolną modyfikację konfiguracji, kradzież danych uwierzytelniających i poufnych informacji przechowywanych przez Cisco ISE, a także dalszy lateral movement w sieci.

Mitygacja

Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o podatnych i naprawionych wersjach zawiera Cisco Security Advisory cisco-sa-ise-unauth-rce-ZAd2GnJ6. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu do interfejsów API Cisco ISE wyłącznie do zaufanych hostów oraz monitorowanie ruchu sieciowego pod kątem podejrzanych żądań API.

Kogo dotyczy

Cisco Identity Services Engine (ISE) oraz Cisco Identity Services Engine Passive Identity Connector (ISE-PIC) — konkretne wersje wskazane w referencjach producenta (Cisco Security Advisory cisco-sa-ise-unauth-rce-ZAd2GnJ6)

Uwagi

Podatność figuruje w katalogu CISA KEV jako aktywnie exploitowana. CVSS 10.0 (maksymalny) z wektorem sieciowym, bez wymagania uwierzytelnienia i interakcji użytkownika, z pełnym zakresem wpływu (C:H/I:H/A:H) oraz zmianą zakresu (S:C). Cisco ISE pełni rolę centralnego systemu zarządzania tożsamością i dostępem (NAC/AAA), co sprawia, że kompromitacja tego systemu może skutkować przejęciem kontroli nad całą infrastrukturą sieciową organizacji.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Cisco Identity Services Engine

    APP
    Cisco
    3.3.03.4.0
  • Cisco Identity Services Engine Passive Identity Connector

    APP
    Cisco
    3.3.03.4.0

CISA KEV — szczegółyi

Dostawcai
Cisco
Produkti
Identity Services Engine
Data dodania do KEVi
28 lipca 2025
Termin remediation (USA)i
18 sierpnia 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami dostawcy, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Cisco Identity Services Engine zawiera lukę typu injection w konkretnym API Cisco ISE i Cisco ISE-PIC z powodu niewystarczającej walidacji danych dostarczonego przez użytkownika, pozwalającej atakującemu na eksploatację tej luki poprzez przesłanie skonstruowanego żądania API. Udana eksploatacja mogłaby pozwolić atakującemu na wykonanie RCE i uzyskanie uprawnień root na zafektowanym urządzeniu.

tłumaczenie AI
Pokaż oryginał (EN)

Cisco Identity Services Engine contains an injection vulnerability in a specific API of Cisco ISE and Cisco ISE-PIC due to insufficient validation of user-supplied input allowing an attacker to exploit this vulnerability by submitting a crafted API request. Successful exploitation could allow an attacker to perform remote code execution and obtaining root privileges on an affected device.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 18 sierpnia 2025
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-20281CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Cisco ISE / ISE-PIC — nieuwierzytelniony RCE przez API jako root

CVE-2026-20181CRITICAL9.1ten sam produkt

A vulnerability in Cisco ISE and ISE-PIC could allow an authenticated, remote attacker to execute arbitrary co...

CVE-2026-20186CRITICAL9.9PL ✓ten sam produkt

RCE w Cisco ISE — eskalacja uprawnień do root przez HTTP

CVE-2025-20282CRITICAL10.0PL ✓ten sam produkt

Nieautoryzowany RCE jako root w Cisco ISE i ISE-PIC

CVE-2025-20286CRITICAL9.9PL ✓ten sam produkt

Cisco ISE w chmurze: współdzielone statyczne poświadczenia umożliwiają nieautoryzowany dostęp

CVE-2025-20337 — Nieuwierzytelniony RCE jako root w Cisco ISE i ISE-PIC poprzez API — CRITICAL 10.0 | CVEbaza.pl