[Actualización 17/07/2015] Múltiples vulnerabilidades en productos de Cisco
- Para CVE-2025-20281 y CVE-2025-20337: Cisco ISE y ISE-PIC, versiones 3.3 y posteriores.
- Para CVE-2025-20282: Cisco ISE y ISE-PIC, versión 3.4.
Cisco ha publicado 2 vulnerabilidades de severidad crítica, cuya explotación podría permitir a un atacante remoto, no autenticado, ejecutar código arbitrario en el sistema operativo subyacente como root o subir archivos arbitrarios a un dispositivo afectado y luego ejecutar esos archivos en el sistema operativo subyacente.
[Actualización 17/07/2025]
Cisco ha publicado una nueva vulnerabilidad, CVE-2025-20337, de severidad crítica que podría permitir ejecución remota de código.
Cisco ha publicado actualizaciones de software gratuitas que solucionan las vulnerabilidad descritas en este aviso. Los clientes con contratos de servicio que les den derecho a actualizaciones de software periódicas deben obtener las correcciones de seguridad a través de sus canales de actualización habituales.
- Vulnerabilidades de validación insuficiente de la entrada proporcionada por el usuario en Cisco ISE y Cisco ISE-PIC. Estas podrían permitir a un atacante remoto, no autenticado, ejecutar código arbitrario en el sistema operativo subyacente como root. El atacante no necesita credenciales válidas para explotar esta vulnerabilidad. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud de API manipulada. Se han asignado los identificadores CVE-2025-20281 y CVE-2025-20337 para estas vulnerabilidades.
- Vulnerabilidad de falta de comprobaciones de validación en Cisco ISE y Cisco ISE-PIC. Esta podría permitir a un atacante remoto, no autenticado, cargar archivos arbitrarios en un dispositivo afectado y luego ejecutar esos archivos en el sistema operativo subyacente como root. Un atacante podría explotar esta vulnerabilidad cargando un archivo manipulado en el dispositivo afectado. Se ha asignado el identificador CVE-2025-20282 para esta vulnerabilidad.