Cisco a publié des mises à jour pour corriger deux failles de sécurité de gravité maximale dans Identity Services Engine (ISE) et ISE Passive Identity Connector (ISE-PIC) qui pourraient permettre à un attaquant non authentifié d’exécuter des commandes arbitraires en tant qu’utilisateur root.

Les vulnérabilités, identifiées CVE-2025-20281 et CVE-2025-20282, ont chacune un score CVSS de 10. Leur description est présentée ci-dessous :

• CVE-2025-20281 – Une vulnérabilité d’exécution de code à distance non authentifiée affectant Cisco ISE et ISE-PIC versions 3.3 et ultérieures qui pourrait permettre à un attaquant distant non authentifié d’exécuter du code arbitraire sur le système d’exploitation sous-jacent en tant que root
• CVE-2025-20282 – Une vulnérabilité d’exécution de code à distance non authentifiée affectant Cisco ISE et ISE-PIC version 3.4 qui pourrait permettre à un attaquant distant non authentifié de télécharger des fichiers arbitraires sur un périphérique affecté et d’exécuter ces fichiers sur le système d’exploitation sous-jacent en tant que root.

Cisco a déclaré que CVE-2025-20281 est le résultat d’une validation insuffisante des entrées fournies par l’utilisateur, qu’un attaquant pourrait exploiter en envoyant une requête API conçue pour obtenir des privilèges élevés et exécuter des commandes.

En revanche, CVE-2025-20282 provient d’un manque de contrôles de validation de fichiers qui empêcheraient autrement les fichiers téléchargés d’être placés dans des répertoires privilégiés.

« Un exploit réussi pourrait permettre à l’attaquant de stocker des fichiers malveillants sur le système affecté, puis d’exécuter du code arbitraire ou d’obtenir des privilèges root sur le système », a déclaré Cisco.

Le fournisseur d’équipements réseau a indiqué qu’il n’existait aucune solution pour résoudre ces problèmes. Les défauts ont été corrigés dans les versions ci-dessous :

• CVE-2025-20281 – Cisco ISE ou ISE-PIC 3.3 Patch 6 (ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz), 3.4 Patch 2 (ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz)
• CVE-2025-20282 – Cisco ISE ou ISE-PIC 3.4 Patch 2 (ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz)

L’entreprise a remercié Bobby Gould de Trend Micro Zero Day Initiative et Kentaro Kawane de GMO Cybersecurity pour avoir signalé la vulnérabilité CVE-2025-20281. Kawane, qui avait précédemment signalé la vulnérabilité CVE-2025-20286 (score CVSS : 9,9), a également été reconnu pour avoir signalé la vulnérabilité CVE-2025-20282.

Bien qu’il n’y ait aucune preuve que les vulnérabilités aient été exploitées dans la nature, il est essentiel que les utilisateurs agissent rapidement pour appliquer les correctifs afin de se protéger contre les menaces potentielles.1000