Spoločnosť Cisco oznámila opravy viacerých zraniteľností vrátane dvoch kritických chýb v riešení podnikovej bezpečnosti Identity Services Engine (ISE).
Kritické chyby, sledované ako CVE-2025-20124 a CVE-2025-20125 a ovplyvňujúce ISE API, by mohli umožniť vzdialenému útočníkovi autentifikovanému s administratívnymi oprávneniami iba na čítanie vykonávať ľubovoľné príkazy na zraniteľnom zariadení.
CVE-2025-20125 (CVSS skóre 9.1) je spôsobené nedostatočnou autorizáciou v rozhraní API a nesprávnym overením používateľského vstupu, čo umožňuje útočníkovi odosielať vytvorené požiadavky HTTP do rozhrania API a získavať informácie, manipulovať s konfiguráciou zariadenia a znova načítať zariadenie.
Opravy týchto bezpečnostných chýb boli zahrnuté vo verziách ISE 3.1P10, 3.2P7 a 3.3P4. Cisco tvrdí, že pre žiadnu z týchto chýb neexistujú žiadne riešenia. Používateľom sa odporúča čo najskôr aktualizovať svoje inštalácie ISE.
V technologický gigant tiež varoval pred viacerými závažnými zraniteľnosťami v podsystéme Simple Network Management Protocol (SNMP) Cisco IOS, IOS XE a IOS XR, ktoré by mohli vzdialeným, overeným útočníkom umožniť spôsobiť odmietnutie služby (DoS).
Sledované ako CVE-2025-20169 až CVE-2025-20176, chyby existujú v dôsledku nesprávneho spracovania chýb pri analýze požiadaviek SNMP, čo útočníkom umožňuje odosielať vytvorené požiadavky SNMP a spôsobiť neočakávané opätovné načítanie zariadení, čo spôsobuje stav DoS.
Ďalšie informácie je možné nájsť na stránkach:
https://www.securityweek.com/cisco-patches-critical-vulnerabilities-in-enterprise-management-product