——————————————————————————————————–
Update 24.07.2025:
Cisco hat den CVE aktualisiert und einen neuen Patch für ISE 3.3 veröffentlicht. Zum Schließen der Sicherheitslücken sollte die betroffenen Systeme auf Patch 7 angehoben werden, weitere Details sind im verlinkten CVE auf der Herstellerseite zu finden.
Version 2.2 – Final:
——————————————————————————————————–
Cisco hat zwei schwerwiegende Sicherheitslücken in seinen Produkten Identity Services Engine (ISE) und ISE Passive Identity Connector (ISE-PIC) veröffentlicht. Beide Schwachstellen ermöglichen es einem entfernten, nicht authentifizierten Angreifer, beliebigen Code mit Root-Rechten auf dem zugrunde liegenden Betriebssystem auszuführen.
Betroffene Komponenten und Schwachstellen
1. Cisco Identity Services Engine – ISE & ISE-PIC
Cisco Identity Services Engine Unauthenticated Remote Code Execution Vulnerabilities
CVE-2025-20281
Eine Schwachstelle in einer öffentlich zugänglichen API erlaubt es Angreifern, speziell präparierte Anfragen zu senden und dadurch Root-Zugriff zu erlangen. Ursache ist eine unzureichende Validierung von Benutzereingaben.
- CVSS Score 10.0 (Kritisch)
CVE-2025-20282
Eine interne API erlaubt das Hochladen und Ausführen beliebiger Dateien in privilegierten Verzeichnissen. Auch hier ist keine Authentifizierung erforderlich.
- CVSS Score 10.0 (Kritisch)
Beide Schwachstellen sind unabhängig voneinander ausnutzbar.
Empfohlene Maßnahmen:
Es existieren keine Workarounds. Administratoren sollten umgehend auf die folgenden Versionen aktualisieren.
| Cisco ISE or ISE-PIC | First Fixed Release for CVE-2025-20281 | First Fixed Release for CVE-2025-20282 | First Fixed Release for CVE-2025-20337 |
|---|---|---|---|
| 3.2 oder älter | nicht betroffen | nicht betroffen | nicht betroffen |
| 3.3 | 3.3 Patch 7 ise-patchbundle-3.3.0.430-Patch7-25070414.SPA.x86_64.tar.gz | nicht betroffen | 3.3 Patch 7 ise-patchbundle-3.3.0.430-Patch7-25070414.SPA.x86_64.tar.gz |
| 3.4 | 3.4 Patch 2 | 3.4 Patch 2 | 3.4 Patch 2 |
Herstellerseite:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6
2. Cisco Identity Services Engine – ISE
Cisco Identity Services Engine Authorization Bypass Vulnerability
CVE-2025-20264
Die Schwachstelle betrifft Systeme, die SAML Single Sign-On (SSO) mit einem externen Identitätsanbieter zur Benutzererstellung nutzen. Ein authentifizierter, entfernter Angreifer kann durch gezielte Befehle bestimmte administrative Funktionen ausführen – darunter auch Änderungen an Systemeinstellungen, die einen Neustart des Systems auslösen können. In Single-Node-Deployments kann dies dazu führen, dass Geräte im Netzwerk während des Neustarts keine Authentifizierung durchführen können – mit potenziell gravierenden Auswirkungen auf die Netzwerkverfügbarkeit.
- CVSS Score 6.4 (Medium)
Empfohlene Maßnahmen:
Es existieren keine Workarounds. Administratoren sollten umgehend auf die folgenden Versionen aktualisieren.
| Cisco ISE Release | First Fixed Release |
|---|---|
| 3.1 and earlier | Migrate to a fixed release. |
| 3.2 | 3.2P8 (Nov 2025) |
| 3.3 | 3.3P5 |
| 3.4 | 3.4P2 |
Herstellerseite:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-auth-bypass-mVfKVQAU
https://www.cisco.com/c/en/us/td/docs/security/ise/3-3/release_notes/b_ise_33_RN.html
Matthias Beller 
Thomas Seidt