Cisco разкри нова критична уязвимост с идентификатор CVE-2025-20337 в своя продукт Identity Services Engine (ISE), която може да бъде използвана от неавтентифициран отдалечен нападател за съхраняване на зловредни файлове, изпълнение на произволен код и придобиване на root привилегии върху уязвими устройства.
Максимална оценка на риска: 10 от 10
Уязвимостта получи максимален CVSS рейтинг от 10, което я прави изключително сериозна. Причината за проблема е недостатъчна валидация на потребителски вход, което позволява подаване на специално изготвени API заявки от атакуващия.
Открита е от изследователя Кентаро Каване от японската фирма GMO Cybersecurity by Ierae и докладвана чрез Zero Day Initiative на Trend Micro.
Засегнати версии и важни подробности:
Cisco уточнява, че всички версии на ISE и ISE-PIC 3.3 и 3.4 са засегнати, независимо от конфигурацията на устройството. По-старите версии (3.2 и по-стари) не са уязвими.
В допълнение към CVE-2025-20337, съществуват и други две критични уязвимости – CVE-2025-20281 и CVE-2025-20282, които също позволяват отдалечено изпълнение на код и имат максимална оценка на риска. Всички три уязвимости могат да бъдат експлоатирани независимо една от друга.
Важно: Пачовете, които адресират CVE-2025-20281 и 20282, не защитават от CVE-2025-20337. За да се елиминира рискът, е необходимо надграждане до:
| Версия на ISE/ISE-PIC | Поправена версия за CVE-2025-20337 |
|---|---|
| 3.3 | Patch 7 |
| 3.4 | Patch 2 |
| 3.2 и по-стари | Не са уязвими |
Допълнителни уязвимости, разкрити от Cisco:
На същата дата Cisco публикува и 4 бюлетина за други уязвимости, с рейтинг от средна до висока критичност, включително:
-
CVE-2025-20274 – Високорискова уязвимост в Cisco Unified Intelligence Center, позволяваща качване и изпълнение на файлове като root от потребители с Report Designer права.
-
CVE-2025-20272 – Среднорискова SQL инжекция в Prime Infrastructure и EPNM, позволяваща достъп до база данни чрез REST API.
-
CVE-2025-20283–85 – Уязвимости за оторизирани потребители в ISE и ISE-PIC, които позволяват root команди и заобикаляне на IP ограничения.
-
CVE-2025-20288 – SSRF атака в Unified Intelligence Center, позволяваща вътрешни заявки към мрежата без автентикация.
Нито една от изброените уязвимости няма налични заобиколни решения (workarounds). Препоръчва се незабавно прилагане на съответните кръпки.
Препоръки към администраторите:
-
Проверете дали използваната версия на Cisco ISE или ISE-PIC е сред уязвимите.
-
Ако е необходимо, надградете до ISE 3.3 Patch 7 или 3.4 Patch 2.
-
Уверете се, че инфраструктурата (хардуер, софтуер, конфигурации) поддържа новата версия.
-
При невъзможност за мигновен ъпгрейд, изолирайте системите и следете активно за съмнителни API заявки или необичайна активност.
CVE-2025-20337 представлява една от най-сериозните уязвимости за 2025 г. в корпоративен продукт с широко приложение. Макар експлоатация в реална среда все още да не е регистрирана, рисковете са сериозни и изискват бързи действия от администраторите и екипите по сигурността.
