For English, see below.
Beschrijving
Er zijn twee kritieke kwetsbaarheden ontdekt in Cisco Identity Services Engine (ISE) en Cisco ISE Passive Identity Connector (ISE-PIC). Deze kwetsbaarheden bevinden zich in specifieke API-componenten van de software. Het betreft onderstaande kwetsbaarheden:
- CVE-2025-20281: Deze kwetsbaarheid is het gevolg van onvoldoende validatie van gebruikersinvoer in een specifieke API. Een aanvaller kan via een speciaal geprepareerd API-verzoek willekeurige commando’s uitvoeren op het onderliggende besturingssysteem met root-rechten, zonder dat authenticatie vereist is.
- CVE-2025-20282: Deze kwetsbaarheid treft alleen versie 3.4 van ISE en ISE-PIC en maakt eveneens het zonder authenticatie uitvoeren van willekeurige code mogelijk. De kwetsbaarheid bevindt zich in een interne API waarmee een aanvaller willekeurige bestanden kan uploaden en vervolgens uitvoeren (met root-rechten).
Beide kwetsbaarheden hebben de hoogst mogelijke CVSS-score van 10 meegekregen, wat aangeeft dat deze kwetsbaarheden eenvoudig kunnen worden misbruikt. Voor uitbuiting is het uiteraard wel vereist dat de aanvaller toegang heeft tot de kwetsbare API’s, wat normaal gesproken alleen mogelijk is vanuit een intern netwerk.
Kwetsbare versies
De kwetsbaarheden bevinden zich in onderstaande versies van Cisco Identity Services Engine (ISE) en Cisco ISE Passive Identity Connector (ISE-PIC):
- Cisco ISE en ISE-PIC versie 3.3 en later (voor CVE-2025-20281)
- Cisco ISE en ISE-PIC versie 3.4 (voor CVE-2025-20282)
Versies ouder dan 3.3 zijn niet kwetsbaar.
Oplossingen en tijdelijke mitigaties
Cisco heeft de kwetsbaarheden verholpen via onderstaande patches en software-updates:
- Cisco ISE 3.3: update naar een gepatchte versie die CVE-2025-20281 verhelpt
- Cisco ISE 3.4: update naar een gepatchte versie die zowel CVE-2025-20281 als CVE-2025-20282 verhelpt
Meer informatie
Vragen
Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.
===== ENGLISH =====
Description
Two critical vulnerabilities have been discovered in Cisco Identity Services Engine (ISE) and Cisco ISE Passive Identity Connector (ISE-PIC). These vulnerabilities are located in specific API components of the software. The vulnerabilities are as follows:
- CVE-2025-20281: This vulnerability is the result of insufficient validation of user input in a specific API. An attacker can execute arbitrary commands on the underlying operating system with root privileges via a specially crafted API request, without requiring authentication.
- CVE-2025-20282: This vulnerability affects only version 3.4 of ISE and ISE-PIC and also allows the execution of arbitrary code without authentication. The vulnerability is located in an internal API that allows an attacker to upload and then execute arbitrary files (with root privileges).
Both vulnerabilities have been assigned the highest possible CVSS score of 10, indicating that they can be easily exploited. However, exploitation does require the attacker to have access to the vulnerable APIs, which is typically only possible from within an internal network.
Vulnerable versions
The vulnerabilities are present in the following versions of Cisco Identity Services Engine (ISE) and Cisco ISE Passive Identity Connector (ISE-PIC):
- Cisco ISE and ISE-PIC version 3.3 and later (for CVE-2025-20281)
- Cisco ISE and ISE-PIC version 3.4 (for CVE-2025-20282)
Versions older than 3.3 are not vulnerable.
Solutions and workarounds
Cisco has addressed the vulnerabilities through the following patches and software updates:
- Cisco ISE 3.3: update to a patched version that resolves CVE-2025-20281
- Cisco ISE 3.4: update to a patched version that resolves both CVE-2025-20281 and CVE-2025-20282
More information
Questions
For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl.
|
