Компания Cisco выпустила
Ссылка скрыта от гостей
о наличии двух критических уязвимостей удалённого выполнения кода (RCE) в своих продуктах Cisco Identity Services Engine (ISE) и Passive Identity Connector (ISE-PIC). Обе уязвимости имеют максимальный уровень опасности с оценкой CVSS 10.0.Первая уязвимость,
CVE-2025-20281, затрагивает версии ISE и ISE-PIC 3.4 и 3.3, в то время как вторая, CVE-2025-20282, касается только версии 3.4.CVE-2025-20281 связана с недостаточной проверкой пользовательских данных в одном из открытых API. Это позволяет злоумышленнику, не имеющему аутентификации, отправить специально сформированный запрос API для выполнения произвольных команд операционной системы с правами пользователя root.Вторая уязвимость,
CVE-2025-20282, связана с неадекватной проверкой файлов во внутреннем API, что даёт возможность злоумышленнику записывать файлы в привилегированные каталоги. Это позволяет загружать произвольные файлы в целевую систему и выполнять их с правами root.Обе уязвимости могут привести к полной компрометации системы и удалённому захвату устройства без необходимости аутентификации или взаимодействия с пользователем.
Cisco отметила, что в настоящий момент ей ничего не известно о реальных случаях эксплуатации этих уязвимостей в реальной среде. Однако компания настоятельно рекомендует своим клиентам обновить системы, так как устранение этих уязвимостей является приоритетным.
