O pesquisador de segurança Bobby Gould publicou uma prova de conceito completa para explorar a vulnerabilidade crítica CVE-2025-20281 no Cisco Identity Services Engine (ISE), revelando como obter execução remota de código sem autenticação com privilégios de root. A falha, inicialmente divulgada em 25 de junho de 2025, afeta as versões 3.3 e 3.4 do Cisco ISE e ISE-PIC.
O problema permite que invasores remotos enviem e executem arquivos arbitrários no sistema, explorando uma combinação de desserialização insegura e injeção de comandos no método enableStrongSwanTunnel(). Três semanas após o anúncio inicial, a Cisco atualizou o boletim para incluir uma segunda falha relacionada, agora documentada como CVE-2025-20337. Assim, o problema foi dividido em duas partes: CVE-2025-20281, referente à injeção de comandos, e CVE-2025-20337, ligada à desserialização.
No dia 22 de julho, ambas as vulnerabilidades foram marcadas pela Cisco como ativamente exploradas, com um forte apelo para que administradores apliquem as atualizações de segurança imediatamente. Além disso, o pesquisador mostra como escapar do contêiner privilegiado e obter controle root no sistema host, utilizando um método conhecido de escalonamento baseado em cgroups e release_agent. Embora correções emergenciais tenham sido disponibilizadas anteriormente, a Cisco recomenda atualizar para a versão 3.3 Patch 7 ou 3.4 Patch 2 para mitigar totalmente os riscos.
