Impatto Sistemico

Alto (66.66)

Sintesi

Aggiornamenti di sicurezza sanano tre nuove vulnerabilità, con gravità “critica”, che riguardano prodotti Cisco Identity Services Engine (ISE) e Cisco Passive Identity Connector (ISE-PIC). Tali vulnerabilità, potrebbero consentire a un attaccante di eseguire codice arbitrario da remoto sui sistemi interessati.

Descrizione e potenziali impatti

Aggiornamenti di sicurezza sanano tre nuove vulnerabilità, con gravità “critica”, che riguardano prodotti Cisco Identity Services Engine (ISE) e Cisco Passive Identity Connector (ISE-PIC). Tali vulnerabilità, potrebbero consentire a un attaccante di eseguire codice arbitrario da remoto sui sistemi interessati.

In particolare, le CVE-2025-20281 e CVE-2025-20337, classificate come “ Improper Neutralization of Special Elements in Output Used by a Downstream Component (‘Injection’) ” e con score CVSS v3.x pari a 10, consentirebbero a un attaccante remoto, non autenticato, di eseguire codice arbitrario con privilegi elevati sfruttando API esposte su dispositivi vulnerabili a causa di una convalida insufficiente degli input forniti dall’utente.

La CVE-2025-20282, di tipo “ Improper Privilege Management ” e con score CVSS v3.x pari a 10, è causata da una mancanza di controlli adeguati sulla validazione dei file caricati. Tale vulnerabilità permetterebbe a un attaccante remoto e non autenticato di caricare file arbitrari in cartelle sensibili ed eseguirli con privilegi elevati sul sistema operativo sottostante.

Tipologia

Remote Code Execution

Prodotti e/o versioni affette

Cisco ISE e ISE-PIC

• 3.3.x, versioni precedenti alla 3.3 Patch 7
• 3.4.x, versioni precedenti alla 3.4 Patch 2

Azioni di mitigazione

Si raccomanda di aggiornare tempestivamente i prodotti vulnerabili seguendo le istruzioni fornite dal vendor per ciascun prodotto interessato e riportate nel bollettino di sicurezza disponibile al link nella sezione Riferimenti.