Plataforma
cisco
Componente
cisco-identity-services-engine-software
Corrigido em
3.4.1
3.4.1
A vulnerabilidade CVE-2025-20282 é uma falha de Execução Remota de Código (RCE) crítica descoberta no Cisco Identity Services Engine (ISE) Software. Essa falha permite que um atacante não autenticado envie arquivos arbitrários para um dispositivo afetado e, posteriormente, execute esses arquivos no sistema operacional subjacente com privilégios de root. As versões afetadas incluem a 3.4.0. A Cisco lançou uma correção para esta vulnerabilidade.
Um atacante pode explorar esta vulnerabilidade enviando um arquivo malicioso para o dispositivo Cisco ISE. A ausência de validação adequada dos arquivos permite que o atacante coloque arquivos em diretórios privilegiados, comprometendo a integridade do sistema. A execução bem-sucedida do exploit pode conceder ao atacante controle total sobre o dispositivo, permitindo a exfiltração de dados confidenciais, a instalação de malware e o movimento lateral dentro da rede. Dada a natureza crítica da falha e a capacidade de execução como root, o impacto potencial é severo e pode levar a uma interrupção significativa das operações.
A vulnerabilidade foi publicada em 25 de junho de 2025. A pontuação de severidade é CRÍTICA (CVSS 10). Não há informações disponíveis sobre exploração ativa ou a inclusão da vulnerabilidade no KEV da CISA no momento da publicação. A ausência de validação de arquivos é um padrão comum em vulnerabilidades de RCE, similar a explorações que envolvem upload de arquivos para sistemas sem validação adequada.
Organizations heavily reliant on Cisco ISE for network access control are at significant risk. This includes enterprises, educational institutions, and government agencies. Environments with legacy ISE deployments or those lacking robust security monitoring practices are particularly vulnerable. Shared hosting environments utilizing Cisco ISE are also at increased risk due to the potential for cross-tenant exploitation.
• linux / server: Monitor ISE logs (typically located in /var/log/ise/) for unusual file uploads or execution attempts. Use journalctl -f to monitor real-time log activity.
journalctl -f | grep -i "upload" | grep -i "execute"• cisco: Use Cisco's Security Monitoring and Threat Detection (SMTD) tools to detect suspicious file upload patterns and unauthorized access attempts. Check Cisco's Threat Response Intelligence Center (CTRIC) for relevant signatures.
• generic web: Monitor network traffic for unusual HTTP POST requests to ISE API endpoints, especially those related to file uploads. Use curl to test endpoint exposure.
curl -v -X POST -F "[email protected]" <ISE_IP>/api/uploaddisclosure
Status do Exploit
EPSS
0.29% (percentil 53%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar para a versão corrigida do Cisco ISE Software, conforme recomendado pela Cisco. Se a atualização imediata não for possível, considere implementar medidas de mitigação temporárias, como restringir o acesso à API interna vulnerável através de regras de firewall ou WAF. Monitore logs de sistema em busca de atividades suspeitas, como uploads de arquivos não autorizados. Implemente políticas de controle de acesso rigorosas para limitar os privilégios dos usuários e reduzir a superfície de ataque.
Atualize o Cisco Identity Services Engine Software para uma versão que não seja vulnerável. Consulte o advisory da Cisco para obter mais detalhes e instruções específicas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-20282 is a critical Remote Code Execution vulnerability in Cisco ISE that allows unauthenticated attackers to upload and execute arbitrary files as root, potentially gaining full control of the device.
If you are running Cisco ISE version 3.4.0, you are affected by this vulnerability. Check Cisco's advisory for a complete list of affected versions.
The recommended fix is to upgrade to a patched version of Cisco ISE as soon as possible. Refer to the official Cisco security advisory for details on available patches.
While no public exploits are currently known, the vulnerability's critical severity and ease of exploitation suggest a high probability of exploitation. Continuous monitoring is crucial.
Refer to the official Cisco Security Advisory for CVE-2025-20282 on the Cisco website (search for 'CVE-2025-20282 Cisco' on Cisco.com).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.