Cisco telah merilis pembaruan untuk membahas dua mesin layanan identitas kelemahan keamanan kritis (ISE) yang dapat memungkinkan penyerang jarak jauh untuk menjalankan perintah sewenang -wenang dan meningkatkan hak istimewa pada perangkat yang rentan.
Kerentanan tercantum di bawah ini –
- CVE-2025-20124 (Skor CVSS: 9.9) – Kerentanan deserialisasi Java yang tidak aman dalam API Cisco ISE yang dapat mengizinkan penyerang jarak jauh yang diautentikasi untuk menjalankan perintah sewenang -wenang sebagai pengguna root pada perangkat yang terpengaruh.
- CVE-2025-20125 (Skor CVSS: 9.1) – Kerentanan bypass otorisasi dalam API Cisco ISE dapat mengizinkan penyerang jarak jauh yang diautentikasi dengan kredensial baca -saja yang valid untuk mendapatkan informasi sensitif, mengubah konfigurasi node, dan memulai kembali node
Seorang penyerang dapat mempersenjatai salah satu kekurangan dengan mengirim objek Java yang dibuat serial atau permintaan HTTP ke titik akhir API yang tidak ditentukan, yang mengarah ke eskalasi hak istimewa dan eksekusi kode.
Cisco mengatakan kedua kerentanan itu tidak saling bergantung satu sama lain dan bahwa tidak ada solusi untuk mengurangi mereka. Mereka telah dibahas dalam versi di bawah ini –
- Rilis Perangkat Lunak Cisco ISE 3.0 (bermigrasi ke rilis tetap)
- Rilis Perangkat Lunak Cisco ISE 3.1 (ditetapkan dalam 3.1p10)
- Rilis Perangkat Lunak Cisco ISE 3.2 (ditetapkan dalam 3.2p7)
- Rilis Perangkat Lunak Cisco ISE 3.3 (ditetapkan dalam 3.3p4)
- Rilis Perangkat Lunak Cisco ISE 3.4 (tidak rentan)
Peneliti keamanan Deloitte Dan Marin dan Sebastian Radulea telah dikreditkan dengan menemukan dan memperbaiki kerentanan.
Sementara jurusan peralatan jaringan mengatakan tidak menyadari eksploitasi berbahaya terhadap kekurangan, pengguna disarankan untuk menjaga sistem mereka tetap mutakhir untuk perlindungan optimal.
