Cisco, Cisco Kimlik Hizmetleri Motoru’nu (ISE) ve Pasif Kimlik Konnektörünü (ISE-PIC) etkileyen iki kritik, kimlik dışı uzaktan kod yürütme (RCE) güvenlik açıkları hakkında uyarmak için bir bülten yayınladı.
CVE-2025-20281 ve CVE-2025-20282 altında izlenen kusurlar maksimum önemle derecelendirilmiştir (CVSS skoru: 10.0). Birincisi ISE ve ISE-PIC sürümleri 3.4 ve 3.3’ü etkilerken, ikincisi sadece 3.4 sürümünü etkiler.
CVE-2025-20281’in temel nedeni, belirli bir açıkta olan API’da kullanıcı tarafından sağlanan girişin yetersiz bir validasyonudur. Bu, kimlik doğrulanmamış, uzak bir saldırganın kök kullanıcı olarak keyfi işletim sistemi komutlarını yürütmek için özel hazırlanmış bir API isteği göndermesine izin verir.
İkinci sayı olan CVE-2025-20282, dahili bir API’daki zayıf dosya doğrulamasından kaynaklanır ve dosyaların ayrıcalıklı dizinlere yazılmasına izin verir. Kusur, kimlik doğrulanmamış, uzaktan saldırganların hedef sisteme keyfi dosyalar yüklemesine ve bunları kök ayrıcalıklarıyla yürütmesine izin verir.
Cisco Identity Services Engine (ISE), ağ bağlantılarını yönetmek, ağ erişim kontrolü (NAC), kimlik yönetimi ve politika uygulama aracı olarak hizmet vermek için kuruluşlar tarafından kullanılan bir ağ güvenliği politikası yönetimi ve erişim kontrol platformudur.
Ürün tipik olarak büyük işletmeler, devlet kuruluşları, üniversiteler ve hizmet sağlayıcıları tarafından kullanılır ve kurumsal ağın merkezinde yer alır.
Onu etkileyen iki kusur, herhangi bir kimlik doğrulama veya kullanıcı etkileşimi olmadan hedef cihazın tam olarak uzlaşmasını ve tam uzaktan devralınmasını sağlayabilir.
Cisco, bültende, iki kusur için herhangi bir aktif sömürü vakasının farkında olmadığını, ancak yeni güncellemelerin yüklenmesinin önceliklendirilmesi gerektiğini belirtti.
Kullanıcıların 3.3 Patch 6 (Ise-Apply-CSCWO99449_3.0.430_Patch4) ve 3.4 Patch 2’ye (ISE-Apply-CSCWO99449_3.4.0.608_Patch1) veya daha sonra yükseltilmesi önerilir. Kusurları azaltmak için hiçbir geçici çözüm sağlanmadı, bu nedenle güvenlik güncellemelerinin uygulanması önerilen çözümdür.
Cisco ayrıca, CVE-2025-20264 olarak izlenen ve aynı zamanda ISE’yi de etkileyen orta yüzlü kimlik doğrulama bypass kusuruyla ilgili ayrı bir bülten yayınladı.
Kusur, harici bir kimlik sağlayıcısıyla SAML SSO entegrasyonu yoluyla oluşturulan kullanıcılar için yetersiz yetkinin uygulanmasından kaynaklanmaktadır. Geçerli SSO onaylı kimlik bilgilerine sahip bir saldırgan, sistem ayarlarını değiştirmek veya bir sistem yeniden başlatma yapmak için belirli bir komut dizisi gönderebilir.
CVE-2025-20264, ISE’nin tüm sürümlerini 3.4 şubeye kadar etkiler. Düzeltmeler 3.4 Patch 2 ve 3.3 Yama 5’te sunuldu. Satıcı, Kasım 2025 için planlanan 3.2 Yama 8’in piyasaya sürülmesi ile 3.2 için kusuru düzeltme sözü verdi.
ISE 3.1 ve öncesi de etkilenir, ancak artık desteklenmez ve kullanıcıların daha yeni bir serbest bırakma şubesine geçmeleri önerilir.
Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.
Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın – karmaşık komut dosyaları gerekmez.