Cisco, kimlik hizmetleri motorunu (ISE) ve pasif kimlik konnektörü (ISE-PIC) ürünlerini etkileyen bir dizi Kritik Uzaktan Kod Yürütme (RCE) güvenlik açıklarının vahşi doğada aktif olarak kullanıldığı konusunda acil bir güvenlik danışmanlığı yayınladı.
CVE-2025-20281, CVE-2025-20282 ve CVE-2025-20337 olarak izlenen kusurlar, 10.0 CVSS taban skoru ile mümkün olan en yüksek şiddet derecesini taşır ve savunmasız sistemlere kök düzeyinde erişim elde etmesine izin verir.
Cisco, geçerli hiçbir geçici çözüm bulunmadığını doğruladı ve müşterileri verilen güvenlik güncellemelerini gecikmeden uygulamaya çağırdı.
İlk güvenlik açığı çifti, CVE-2025-20281 ve CVE-2025-20337, Cisco ISE ve ISE-PIC’nin 3.3 ve 3.4’ün kamu API’lerinde bulunur.
Saldırganlar, özel olarak hazırlanmış API istekleri göndererek giriş doğrulama kontrollerini atlayabilir ve temel işletim sisteminde kök ayrıcalıklarıyla keyfi komutlar yürütebilir.
| CVE tanımlayıcısı | Güvenlik Açığı Türü | Etkilenen sürümler | Sabit Sürüm | CVSS Puanı |
| CVE-2025-20281 | API kimlik doğrulanmamış uzaktan kod yürütme | Ise/Ise-Pic 3.3, 3.4 | 3.3 Yama 7, 3.4 Yama 2 | 10.0 |
| CVE-2025-20282 | RCE ile sonuçlanan dosya yükleme doğrulama baypası | ISE/ISE-PIC 3.4 | 3.4 Yama 2 | 10.0 |
| CVE-2025-20337 | API kimlik doğrulanmamış uzaktan kod yürütme (ikinci) | Ise/Ise-Pic 3.3, 3.4 | 3.3 Yama 7, 3.4 Yama 2 | 10.0 |
Cisco, bu kusurları CSCWO99449 ve CSCWP02814’e hata izleme kimliklerine atadı ve 3.3 ve 3.4 sürümlerinin tüm konfigürasyonlarını etkilediğini, ancak daha önceki sürümler için herhangi bir risk oluşturmadıklarını belirtti.
İkinci kusur olan CVE-2025-20282, ISE ve ISE-PIC’nin sadece 3.4’ünü etkiler. Bu durumda, güvenlik açığı, yüklenen dosyaların yetersiz doğrulanmasından kaynaklanır, kötü niyetli nesnelerin ayrıcalıklı dizinlerde saklanmasına ve daha sonra yürütülmesine izin verir.
Cisco bu hatayı CSCWP02821’i etiketledi ve tekrar sorunu kullanmak için hiçbir kimlik bilgisi gerekmediğini gösterdi ve saldırı vektörünü uzak rakipler için önemsiz hale getirdi.
Danışmanlığı ilk olarak 25 Haziran 2025’te yayınladıktan sonra, Cisco rehberliğinde yinelendi. 21 Temmuz 2025’te yayınlanan mevcut sürüm 2.1, gelişmiş sabit sürümlerin mevcut olduğunu doğruladı.
ISE Sürüm 3.4 Yama 2’yi çalıştıran müşterilerin artık harekete geçmesi gerekmezken, 3.3 Yama 6’da yayınlananlar 3.3 Yama 7 sürümüne yükseltilmelidir.
Hotfix paketleriyle yamalanmış cihazlar Ise-Apply-cscwo99449_3.0.430_patch4-spa.tar.gz veya Isee-Apply-cscwo9949_3.4.0.608_patch1-spa.tar.gz.
Cisco, bunların gerçek, eleştirel tehditler ve yamalı yazılım sürümlerinin kusurları tam olarak azalttığına dair güvence veriyor.
Yöneticiler, ağ erişim kontrol altyapısını potansiyel uzlaşmadan korumak için güvenlik açığı taraması ve yama dağıtımına öncelik vermeleri istenir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now