Múltiples vulnerabilidades en productos de Cisco
Fecha de publicación 26/06/2025
Identificador
INCIBE-2025-0344
Importancia
5 - Crítica
Recursos Afectados
- Para CVE-2025-20281: Cisco ISE y ISE-PIC, versiones 3.3 y posteriores.
- Para CVE-2025-20282: Cisco ISE y ISE-PIC, versión 3.4.
Descripción
Cisco ha publicado 2 vulnerabilidades de severidad crítica, cuya explotación podría permitir a un atacante remoto, no autenticado, ejecutar código arbitrario en el sistema operativo subyacente como root o subir archivos arbitrarios a un dispositivo afectado y luego ejecutar esos archivos en el sistema operativo subyacente.
Solución
Cisco ha publicado actualizaciones de software gratuitas que solucionan las vulnerabilidad descritas en este aviso. Los clientes con contratos de servicio que les den derecho a actualizaciones de software periódicas deben obtener las correcciones de seguridad a través de sus canales de actualización habituales.
Detalle
- Vulnerabilidad de validación insuficiente de la entrada proporcionada por el usuario en Cisco ISE y Cisco ISE-PIC. Esta podría permitir a un atacante remoto, no autenticado, ejecutar código arbitrario en el sistema operativo subyacente como root. El atacante no necesita credenciales válidas para explotar esta vulnerabilidad. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud de API manipulada. Se ha asignado el identificador CVE-2025-20281 para esta vulnerabilidad.
- Vulnerabilidad de falta de comprobaciones de validación en Cisco ISE y Cisco ISE-PIC. Esta podría permitir a un atacante remoto, no autenticado, cargar archivos arbitrarios en un dispositivo afectado y luego ejecutar esos archivos en el sistema operativo subyacente como root. Un atacante podría explotar esta vulnerabilidad cargando un archivo manipulado en el dispositivo afectado. Se ha asignado el identificador CVE-2025-20282 para esta vulnerabilidad.
Listado de referencias
Etiquetas
