Компания Ciscoвыпустила предупреждение о наличии двух критических уязвимостей удалённого выполнения кода (RCE) в своих продуктах Cisco Identity Services Engine (ISE) и Passive Identity Connector (ISE-PIC). Обе уязвимости имеют максимальный уровень опасности с оценкой CVSS 10.0.

Первая уязвимость,

Код:

CVE-2025-20281

, затрагивает версии ISE и ISE-PIC 3.4 и 3.3, в то время как вторая,

Код:

CVE-2025-20282

, касается только версии 3.4.

Код:

CVE-2025-20281

связана с недостаточной проверкой пользовательских данных в одном из открытых API. Это позволяет злоумышленнику, не имеющему аутентификации, отправить специально сформированный запрос API для выполнения произвольных команд операционной системы с правами пользователя root.

Вторая уязвимость,

Код:

CVE-2025-20282

, связана с неадекватной проверкой файлов во внутреннем API, что даёт возможность злоумышленнику записывать файлы в привилегированные каталоги. Это позволяет загружать произвольные файлы в целевую систему и выполнять их с правами root.

Обе уязвимости могут привести к полной компрометации системы и удалённому захвату устройства без необходимости аутентификации или взаимодействия с пользователем.

Cisco отметила, что в настоящий момент ей ничего не известно о реальных случаях эксплуатации этих уязвимостей в реальной среде. Однако компания настоятельно рекомендует своим клиентам обновить системы, так как устранение этих уязвимостей является приоритетным.