Cisco je u srijedu obavijestio korisnike o još jednoj kritičnoj ranjivosti u sistemu Identity Services Engine (ISE) i ISE Passive Identity Connector (ISE-PIC), koja bi mogla dovesti do izvršavanja koda na daljinu (RCE).
U ažuriranju savjeta objavljenog 25. juna, koji se odnosio na dvije ranjivosti pod oznakama CVE-2025-20281 i CVE-2025-20282, tehnološki gigant je dodao i novu CVE oznaku na listu, upozoravajući korisnike da i ona nosi maksimalnu ocjenu ozbiljnosti.
Ranjivost označena kao CVE-2025-20337 ima CVSS ocjenu 10/10, isto kao i prethodne dvije i pogađa isti API kao i CVE-2025-20281.
„Višestruke ranjivosti u određenom API-ju Cisco ISE i Cisco ISE-PIC sistema mogle bi omogućiti neautentifikovanom napadaču da sa udaljene lokacije izvrši proizvoljan kod na operativnom sistemu sa root privilegijama. Napadaču nijesu potrebni nikakvi validni podaci za prijavu kako bi iskoristio ove ranjivosti,” navodi Cisco u svom saopštenju.
Kompanija objašnjava da nedovoljna validacija korisnički definisanog unosa omogućava napadaču da pošalje specijalno izrađen API zahtjev i stekne root privilegije na pogođenom uređaju.
Ovi bezbjednosni propusti utiču na Cisco ISE i ISE-PIC verzije 3.3 i 3.4, a ispravljeni su u verzijama 3.3 patch 7 i 3.4 patch 2.
U utorak je Cisco takođe objavio zakrpe za ranjivost CVE-2025-20274 (CVSS ocjena 6.3), koja je ocijenjena kao visoka i tiče se web-baziranog interfejsa za upravljanje u okviru Unified Intelligence Center. Ova ranjivost bi mogla biti iskorišćena za učitavanje proizvoljnih fajlova.
Nepravilna validacija fajlova koji se učitavaju na interfejs omogućava autentifikovanim napadačima da na sistem unesu maliciozne fajlove, što može dovesti do izvršavanja proizvoljnih komandi. Greška može biti iskorišćena za eskalaciju privilegija do root nivoa, što dodatno povećava njenu ozbiljnost, navodi Cisco.
Zakrpe za ovu ranjivost uključene su u verzije Unified Intelligence Center 12.5(1) SU ES05 i 12.6(2) ES05. Cisco preporučuje korisnicima verzije Unified CCX 12.5(1) SU3 i starijih da pređu na verziju 15, koja nije pogođena.
Tehnološki gigant je takođe objavio zakrpe za ranjivosti srednjeg nivoa ozbiljnosti u ISE i ISE-PIC sistemima, Evolved Programmable Network Manager (EPNM), Prime Infrastructure, i Unified Intelligence Center.
Cisco ističe da nije zabilježeno da su ove ranjivosti do sada bile iskorišćene u stvarnim napadima. Dodatne informacije dostupne su na stranici sa bezbjednosnim saopštenjima kompanije.
Izvor: SecurityWeek
