Cisco hat zwei schwerwiegende Sicherheitslücken in seinen Produkten Identity Services Engine (ISE) und ISE Passive Identity Connector (ISE-PIC) veröffentlicht. Beide Schwachstellen ermöglichen es einem entfernten, nicht authentifizierten Angreifer, beliebigen Code mit Root-Rechten auf dem zugrunde liegenden Betriebssystem auszuführen.
Betroffene Komponenten und Schwachstellen
1. Cisco Identity Services Engine – ISE & ISE-PIC
Cisco Identity Services Engine Unauthenticated Remote Code Execution Vulnerabilities
CVE-2025-20281
Eine Schwachstelle in einer öffentlich zugänglichen API erlaubt es Angreifern, speziell präparierte Anfragen zu senden und dadurch Root-Zugriff zu erlangen. Ursache ist eine unzureichende Validierung von Benutzereingaben.
- CVSS Score 10.0 (Kritisch)
CVE-2025-20282
Eine interne API erlaubt das Hochladen und Ausführen beliebiger Dateien in privilegierten Verzeichnissen. Auch hier ist keine Authentifizierung erforderlich.
- CVSS Score 10.0 (Kritisch)
Beide Schwachstellen sind unabhängig voneinander ausnutzbar.
Empfohlene Maßnahmen:
Es existieren keine Workarounds. Administratoren sollten umgehend auf die folgenden Versionen aktualisieren.
| Cisco ISE oder ISE-PIC | First Fixed Release for CVE-2025-20281 | First Fixed Release for CVE-2025-20282 |
|---|---|---|
| 3.2 oder älter | nicht betroffen | nicht betroffen |
| 3.3 | 3.3 Patch 6 ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz | nicht betroffen |
| 3.4 | 3.4 Patch 2 ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz | 3.4 Patch 2 ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz |
Herstellerseite:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6
2. Cisco Identity Services Engine – ISE
Cisco Identity Services Engine Authorization Bypass Vulnerability
CVE-2025-20264
Die Schwachstelle betrifft Systeme, die SAML Single Sign-On (SSO) mit einem externen Identitätsanbieter zur Benutzererstellung nutzen. Ein authentifizierter, entfernter Angreifer kann durch gezielte Befehle bestimmte administrative Funktionen ausführen – darunter auch Änderungen an Systemeinstellungen, die einen Neustart des Systems auslösen können. In Single-Node-Deployments kann dies dazu führen, dass Geräte im Netzwerk während des Neustarts keine Authentifizierung durchführen können – mit potenziell gravierenden Auswirkungen auf die Netzwerkverfügbarkeit.
- CVSS Score 6.4 (Medium)
Empfohlene Maßnahmen:
Es existieren keine Workarounds. Administratoren sollten umgehend auf die folgenden Versionen aktualisieren.
| Cisco ISE Release | First Fixed Release |
|---|---|
| 3.1 and earlier | Migrate to a fixed release. |
| 3.2 | 3.2P8 (Nov 2025) |
| 3.3 | 3.3P5 |
| 3.4 | 3.4P2 |
Herstellerseite:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-auth-bypass-mVfKVQAU
Matthias Beller 
Michael Drüing 
Anouar Labdar