A Cisco lançou atualizações críticas para corrigir duas falhas de segurança com nível máximo de gravidade em seus sistemas Identity Services Engine (ISE) e ISE Passive Identity Connector (ISE PIC). As vulnerabilidades, identificadas como CVE 2025 20281 e CVE 2025 20282, receberam pontuação 10.0 no sistema CVSS, o que indica risco extremo para os ambientes afetados.
A primeira falha, CVE 2025 20281, afeta as versões 3.3 e superiores do ISE e permite que um invasor remoto, sem necessidade de autenticação, envie uma requisição maliciosa via API. Essa falha ocorre devido à ausência de validação adequada dos dados enviados pelo usuário, o que possibilita a execução de comandos arbitrários com privilégios de administrador no sistema operacional. A segunda falha, CVE 2025 20282, é exclusiva da versão 3.4 e resulta de uma falha nos mecanismos de validação de arquivos. Isso permite que um invasor envie arquivos maliciosos para diretórios privilegiados do sistema, conseguindo executar código com acesso root. Ambas as falhas podem comprometer totalmente a integridade dos sistemas afetados.
A Cisco informou que não há soluções alternativas para mitigar essas falhas e recomenda que os usuários apliquem imediatamente as correções disponíveis. Para a CVE 2025 20281, a correção está presente no Patch 6 da versão 3.3 e no Patch 2 da versão 3.4. Já para a CVE 2025 20282, a falha foi corrigida no Patch 2 da versão 3.4. As vulnerabilidades foram descobertas por pesquisadores independentes e, até o momento, não há evidências de exploração ativa. No entanto, considerando o potencial de dano, a recomendação é de atualização imediata para evitar acessos não autorizados, perda de controle e impactos operacionais graves nos ambientes corporativos.
