Cisco وصلههایی را برای رفع دو آسیبپذیری حیاتی در پلتفرم مدیریت سیاستهای امنیتی Identity Services Engine (ISE) منتشر کرده است.
دو نقص امنیتی CVE-2025-20124 (امتیاز: 9.9) و CVE-2025-20125 (امتیاز: 9.1) میتوانند توسط مهاجمان احراز هویت شده از راه دور با سطح دسترسی ادمین برای اجرای دستورات دلخواه به عنوان مجوز root و دور زدن در دستگاههای وصله نشده مورد سوء استفاده قرار گیرند.
Cisco گفت: مهاجم با ارسال یک شیء سریالسازی شده جاوا یا درخواست HTTP به یک نقطه پایانی API نامشخص، میتواند به ارتقا سطح دسترسی و اجرای کد دست پیدا کند. این دو آسیبپذیری که به یکدیگر وابسته نیستند و هیچ راهکاری برای کاهش آنها وجود ندارد، در نسخههای زیر رفع شدهند:
- نسخه 3.0 نرمافزار Cisco ISE (به روزرسانی به نسخه وصله شده)
- نسخه 3.1 نرمافزار Cisco ISE (وصله شده در 3.1P10)
- نسخه 3.2 نرمافزار Cisco ISE (وصله شده در 3.2P7)
- نسخه 3.3 نرمافزار Cisco ISE (وصله شده در 3.3P4)
- نسخه 3.4 نرمافزار Cisco ISE (آسیبپذیر نیست)
https://www.bleepingcomputer.com/news/security/critical-cisco-ise-bug-can-let-attackers-run-commands-as-root/PrivEsc
https://thehackernews.com/2025/02/cisco-patches-critical-ise.html
