Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

[Actualización 17/07/2015] Múltiples vulnerabilidades en productos de Cisco

Fecha de publicación 26/06/2025
Identificador
INCIBE-2025-0344
Importancia
5 - Crítica
Recursos Afectados
  • Para CVE-2025-20281 y CVE-2025-20337: Cisco ISE y ISE-PIC, versiones 3.3 y posteriores.
  • Para CVE-2025-20282: Cisco ISE y ISE-PIC, versión 3.4.
Descripción

Cisco ha publicado 2 vulnerabilidades de severidad crítica, cuya explotación podría permitir a un atacante remoto, no autenticado, ejecutar código arbitrario en el sistema operativo subyacente como root o subir archivos arbitrarios a un dispositivo afectado y luego ejecutar esos archivos en el sistema operativo subyacente.

Solución

Cisco ha publicado actualizaciones de software gratuitas que solucionan las vulnerabilidad descritas en este aviso. Los clientes con contratos de servicio que les den derecho a actualizaciones de software periódicas deben obtener las correcciones de seguridad a través de sus canales de actualización habituales.

Detalle
  • Vulnerabilidades de validación insuficiente de la entrada proporcionada por el usuario en Cisco ISE y Cisco ISE-PIC. Estas podrían permitir a un atacante remoto, no autenticado, ejecutar código arbitrario en el sistema operativo subyacente como root. El atacante no necesita credenciales válidas para explotar esta vulnerabilidad. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud de API manipulada. Se han asignado los identificadores CVE-2025-20281 y CVE-2025-20337 para estas vulnerabilidades.
  • Vulnerabilidad de falta de comprobaciones de validación en Cisco ISE y Cisco ISE-PIC. Esta podría permitir a un atacante remoto, no autenticado, cargar archivos arbitrarios en un dispositivo afectado y luego ejecutar esos archivos en el sistema operativo subyacente como root. Un atacante podría explotar esta vulnerabilidad cargando un archivo manipulado en el dispositivo afectado. Se ha asignado el identificador CVE-2025-20282 para esta vulnerabilidad.
CVE
Explotación
No
Fabricante
Identificador CVE
CVE-2025-20281
Severidad
Crítica
Explotación
No
Fabricante
Identificador CVE
CVE-2025-20282
Severidad
Crítica
Explotación
No
Fabricante
Identificador CVE
CVE-2025-20337
Severidad
Crítica