| Produkt | Cisco ISE i ISE-PIC – wersje wcześniejsze niż 3.3 Cisco ISE i ISE-PIC – wersje wcześniejsze niż 3.4 |
| Numer CVE | CVE-2025-20281 |
| Krytyczność | 10/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
| Opis | Luka w określonym API Cisco ISE i Cisco ISE-PIC może umożliwić niezweryfikowanemu, zdalnemu atakującemu wykonanie dowolnego kodu w podstawowym systemie operacyjnym jako root. Atakujący nie potrzebuje żadnych prawidłowych poświadczeń, aby wykorzystać tę lukę. Ta luka wynika z niewystarczającej walidacji danych wejściowych dostarczonych przez użytkownika. Atakujący może wykorzystać tę lukę, przesyłając spreparowane żądanie API. Udane wykorzystanie luki może umożliwić atakującemu uzyskanie uprawnień roota na zagrożonym urządzeniu. |
| Numer CVE | CVE-2025-20282 |
| Krytyczność | 10/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
| Opis | Luka w wewnętrznym interfejsie API Cisco ISE i Cisco ISE-PIC może umożliwić niezweryfikowanemu, zdalnemu atakującemu przesłanie dowolnych plików na dotknięte urządzenie, a następnie wykonanie tych plików w podstawowym systemie operacyjnym jako root. Ta luka wynika z braku kontroli poprawności plików, które uniemożliwiłyby umieszczenie przesłanych plików w uprzywilejowanych katalogach w dotkniętym systemie. Atakujący może wykorzystać tę lukę, przesyłając spreparowany plik na dotknięte urządzenie. Udany atak może umożliwić atakującemu przechowywanie złośliwych plików w dotkniętym systemie, a następnie wykonanie dowolnego kodu lub uzyskanie uprawnień roota w systemie. |
| Aktualizacja | TAK |
| Link | https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6 |
Cisco informuje o nowych podatnościach. (P25-197)
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny