Vulnerabilidad en Cisco ISE y Cisco ISE-PIC (CVE-2025-20282)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-269
Gestión de privilegios incorrecta
Fecha de publicación:
25/06/2025
Última modificación:
26/06/2025
Descripción
Una vulnerabilidad en una API interna de Cisco ISE y Cisco ISE-PIC podría permitir que un atacante remoto no autenticado cargue archivos arbitrarios en un dispositivo afectado y los ejecute en el sistema operativo subyacente como root. Esta vulnerabilidad se debe a la falta de comprobaciones de validación de archivos que impedirían que los archivos cargados se colocaran en directorios privilegiados en un sistema afectado. Un atacante podría explotar esta vulnerabilidad subiendo un archivo manipulado al dispositivo afectado. Una explotación exitosa podría permitirle almacenar archivos maliciosos en el sistema afectado y luego ejecutar código arbitrario u obtener privilegios de root.
Impacto
Puntuación base 3.x
10.00
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:identity_services_engine:3.4.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:identity_services_engine:3.4.0:patch1:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:identity_services_engine_passive_identity_connector:3.4.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:identity_services_engine_passive_identity_connector:3.4.0:patch1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página