CISCO kritikus sérülékenységek
A Cisco közleményt tett közzé, amelyben két kritikus, hitelesítetlen távoli kódfuttatást (RCE) lehetővé tevő sebezhetőségre figyelmeztet, amelyek a Cisco Identity Services Engine-t (ISE) és a Passive Identity Connectort (ISE-PIC) érintik.
CVE‑2025‑20281: egy publikus API bemeneti ellenőrzésének hiánya miatt bármely, autentikáció nélküli támadó képes speciálisan kialakított HTTP-kérelmet küldeni, amivel root szintű parancsokat futtathat a rendszerben.
CVE‑2025‑20282: a 3.4-es verzió egy belső API-jában nem ellenőrzik megfelelően a fájlokat, így támadók gyökérkönyvtárba tölthetnek fel fájlokat, majd azokat a rendszer root jogosultságával futtathatják.
A sérülékenységek a két eszköz teljes kompromittálását és távoli átvételét teheti lehetővé hitelesítés vagy felhasználói beavatkozás nélkül. A Cisco nem tud a két hiba aktív kihasználásáról, de az új frissítések telepítését prioritásként kell kezelni.
Frissíteni ajánlott a 3.3-as, 6-os javításra (ise-apply-CSCwo99449_3.3.0.430_patch4) és a 3.4-es, 2-es javításra (ise-apply-CSCwo99449_3.4.0.608_patch1) vagy újabb verzióra. A hibák enyhítésére nem adtak meg kerülő megoldást, ezért a biztonsági frissítések telepítése az ajánlott megoldás.
