Cisco, uzak saldırganların keyfi komutlar yürütmesine ve duyarlı cihazlarda ayrıcalıkları yükseltmesine izin verebilecek iki kritik Güvenlik Kususu Kimlik Hizmetleri Motorunu (ISE) ele almak için güncellemeler yayınladı.
Güvenlik açıkları aşağıda listelenmiştir –
- CVE-2025-20124 (CVSS Puanı: 9.9) – Cisco ISE’nin bir API’sinde, kimlik doğrulamalı, uzaktan saldırganın etkilenen bir cihazdaki kök kullanıcı olarak keyfi komutlar yürütmesine izin verebilecek güvensiz bir Java Desarizasyon kırılganlığı.
- CVE-2025-20125 (CVSS Puanı: 9.1) – Cisco Ise’nin bir API’sındaki yetkilendirme bypass güvenlik açığı, hassas bilgiler elde etmek, düğüm yapılandırmalarını değiştirmek ve düğümü yeniden başlatmak için geçerli okunaklı kimlik bilgilerine sahip kimlik doğrulamalı, uzaktan saldırganlara izin verebilir.
Bir saldırgan, hazırlanmış bir serileştirilmiş Java nesnesi veya belirtilmemiş bir API uç noktasına HTTP isteği göndererek kusurlardan birini silahlandırabilir ve bu da ayrıcalık artışına ve kod yürütülmesine yol açabilir.
Cisco, iki güvenlik açığının birbirine bağlı olmadığını ve onları azaltacak hiçbir geçici çözüm olmadığını söyledi. Aşağıdaki sürümlerde ele alındılar –
- Cisco ISE yazılım sürümü 3.0 (sabit bir sürüme geçiş yapın)
- Cisco ISE yazılım sürümü 3.1 (3.1p10’da sabit)
- Cisco ISE yazılım sürümü 3.2 (3.2p7’de sabit)
- Cisco ISE yazılım sürümü 3.3 (3.3p4’te sabit)
- Cisco Ise yazılım sürümü 3.4 (savunmasız değil)
Deloitte güvenlik araştırmacıları Dan Marin ve Sebastian Radulea, güvenlik açıklarını keşfetme ve onarma konusunda kredilendirildi.
Ağ Ekipmanı Binbaşı, kusurların kötü niyetli bir şekilde kullanılmasının farkında olmadığını söylerken, kullanıcılara optimum koruma için sistemlerini güncel tutmaları tavsiye edilir.