Krytyczna podatność w Cisco Identity Services Engine (ISE) i ISE-PIC umożliwia nieuwierzytelnionemu, zdalnemu atakującemu wykonanie dowolnego kodu z uprawnieniami root. Brak wymogu jakichkolwiek poświadczeń czyni tę podatność wyjątkowo groźną, zwłaszcza że jest aktywnie wykorzystywana przez atakujących.
▸ Pokaż oryginał (EN)
A vulnerability in a specific API of Cisco ISE and Cisco ISE-PIC could allow an unauthenticated, remote attacker to execute arbitrary code on the underlying operating system as root. The attacker does not require any valid credentials to exploit this vulnerability. This vulnerability is due to insufficient validation of user-supplied input. An attacker could exploit this vulnerability by submitting a crafted API request. A successful exploit could allow the attacker to obtain root privileges on an affected device.
Podatność wynika z niewystarczającej walidacji danych dostarczanych przez użytkownika w konkretnym interfejsie API produktu (CWE-74 — injection). Atakujący może przesłać specjalnie spreparowane żądanie do podatnego API bez konieczności uwierzytelnienia. Skuteczne wykorzystanie podatności prowadzi do wykonania dowolnego kodu na poziomie systemu operacyjnego z uprawnieniami root.
Atakujący uzyskuje pełną kontrolę nad systemem operacyjnym urządzenia z uprawnieniami root, co umożliwia dowolną modyfikację konfiguracji, kradzież danych uwierzytelniających i poufnych informacji przechowywanych przez Cisco ISE, a także dalszy lateral movement w sieci.
Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o podatnych i naprawionych wersjach zawiera Cisco Security Advisory cisco-sa-ise-unauth-rce-ZAd2GnJ6. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu do interfejsów API Cisco ISE wyłącznie do zaufanych hostów oraz monitorowanie ruchu sieciowego pod kątem podejrzanych żądań API.
Cisco Identity Services Engine (ISE) oraz Cisco Identity Services Engine Passive Identity Connector (ISE-PIC) — konkretne wersje wskazane w referencjach producenta (Cisco Security Advisory cisco-sa-ise-unauth-rce-ZAd2GnJ6)
Podatność figuruje w katalogu CISA KEV jako aktywnie exploitowana. CVSS 10.0 (maksymalny) z wektorem sieciowym, bez wymagania uwierzytelnienia i interakcji użytkownika, z pełnym zakresem wpływu (C:H/I:H/A:H) oraz zmianą zakresu (S:C). Cisco ISE pełni rolę centralnego systemu zarządzania tożsamością i dostępem (NAC/AAA), co sprawia, że kompromitacja tego systemu może skutkować przejęciem kontroli nad całą infrastrukturą sieciową organizacji.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HCisco Identity Services Engine
APPCisco3.3.03.4.0Cisco Identity Services Engine Passive Identity Connector
APPCisco3.3.03.4.0
CISA KEV — szczegółyi
- Dostawcai
- Cisco ↗
- Produkti
- Identity Services Engine
- Data dodania do KEVi
- 28 lipca 2025
- Termin remediation (USA)i
- 18 sierpnia 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami dostawcy, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Cisco Identity Services Engine zawiera lukę typu injection w konkretnym API Cisco ISE i Cisco ISE-PIC z powodu niewystarczającej walidacji danych dostarczonego przez użytkownika, pozwalającej atakującemu na eksploatację tej luki poprzez przesłanie skonstruowanego żądania API. Udana eksploatacja mogłaby pozwolić atakującemu na wykonanie RCE i uzyskanie uprawnień root na zafektowanym urządzeniu.
▸ Pokaż oryginał (EN)
Cisco Identity Services Engine contains an injection vulnerability in a specific API of Cisco ISE and Cisco ISE-PIC due to insufficient validation of user-supplied input allowing an attacker to exploit this vulnerability by submitting a crafted API request. Successful exploitation could allow an attacker to perform remote code execution and obtaining root privileges on an affected device.
Powiązane podatności
Cisco ISE / ISE-PIC — nieuwierzytelniony RCE przez API jako root
A vulnerability in Cisco ISE and ISE-PIC could allow an authenticated, remote attacker to execute arbitrary co...
RCE w Cisco ISE — eskalacja uprawnień do root przez HTTP
Nieautoryzowany RCE jako root w Cisco ISE i ISE-PIC
Cisco ISE w chmurze: współdzielone statyczne poświadczenia umożliwiają nieautoryzowany dostęp