Ciscoは水曜日、Identity Services Engine(ISE)およびISE Passive Identity Connector(ISE-PIC)における、リモートコード実行(RCE)につながる可能性のある、もう一つの重大な脆弱性について顧客に通知しました。
6月25日に公開された、CVE-2025-20281およびCVE-2025-20282として追跡されている2つの脆弱性を詳述したアドバイザリの更新において、同社は新たなCVEをリストに追加し、最大の深刻度評価でユーザーに警告しました。
CVE-2025-20337として追跡されているこのバグは、他の2つの問題と同じくCVSSスコア10/10であり、CVE-2025-20281と同じAPIに影響を及ぼします。
「Cisco ISEおよびCisco ISE-PICの特定のAPIに複数の脆弱性が存在し、認証されていないリモートの攻撃者が、基盤となるオペレーティングシステム上でroot権限で任意のコードを実行できる可能性があります。攻撃者はこれらの脆弱性を悪用するために有効な認証情報を必要としません」とCiscoはアドバイザリで述べています。
同社によれば、ユーザーから提供された入力の検証が不十分であるため、攻撃者が細工されたAPIリクエストを送信し、影響を受けるデバイスでroot権限を取得できる可能性があります。
このセキュリティ欠陥は、Cisco ISEおよびISE-PICのバージョン3.3および3.4に影響し、バージョン3.3パッチ7および3.4パッチ2で修正されました。
火曜日には、Ciscoはまた、Unified Intelligence Centerのウェブベース管理インターフェースにおける高深刻度の脆弱性であるCVE-2025-20274(CVSSスコア6.3)に対する修正も発表しました。この脆弱性は任意のファイルアップロードに悪用される可能性があります。
インターフェースにアップロードされたファイルの検証が不適切なため、認証済みのリモート攻撃者がシステム上に悪意のあるファイルを保存し、任意のコマンドを実行できるようになります。この欠陥はroot権限への権限昇格にも悪用される可能性があり、そのため深刻度が増すとCiscoは述べています。
広告。スクロールして続きをお読みください。
この問題のパッチは、Unified Intelligence Centerバージョン12.5(1) SU ES05および12.6(2) ES05に含まれています。Ciscoは、Unified CCXバージョン12.5(1) SU3以前のユーザーに対し、影響を受けないバージョン15への移行を推奨しています。
同社はまた、ISEおよびISE-PIC、Evolved Programmable Network Manager(EPNM)、Prime Infrastructure、Unified Intelligence Centerにおける中程度の深刻度のセキュリティ欠陥に対するパッチも発表しました。
Ciscoは、これらの脆弱性が実際に悪用されたという情報は把握していないと述べています。追加情報は同社のセキュリティアドバイザリページで確認できます。
関連記事: Cisco、エンタープライズソフトウェアにおけるハードコードされた認証情報について警告
関連記事: CiscoおよびAtlassianによる高深刻度脆弱性の修正
翻訳元: https://www.securityweek.com/cisco-patches-another-critical-ise-vulnerability/