Bestimmte Versionen von Cisco Identity Services Engine (ISE) und ISE Passive Identity Connector (ISE-PIC) sind verwundbar. Nach erfolgreichen Attacken können Angreifer die volle Kontrolle über Systeme erlangen.

Schadcode-Lücken

Über ISE steuern Admins unter anderem Netzwerkzugriffe von Firmenmitarbeitern. Die Anwendung kommt also an einer zentralen Stelle in Unternehmen zum Einsatz, wo Angriffe richtig wehtun können. Demzufolge sollten Admins zügig handeln und die Sicherheitspatches ISE/ISE-PIC 3.3 Patch 6 oder 3.4 Patch 2 installieren. Die ISE-Ausgaben bis einschließlich 3.2 sind nicht bedroht.

Wie aus einer Warnmeldung hervorgeht, sind beide Schwachstellen (CVE-2025-20281, CVE-2025-20282) mit dem Bedrohungsgrad "kritisch" und dem höchstmöglichen CVSS Score 10 von 10 eingestuft. In beiden Fällen können entfernte Angreifer ohne Authentifizierung an den Lücken ansetzen.

Aufgrund von unzureichenden Überprüfungen können Angreifer über präparierte API-Anfragen oder das Hochladen von manipulierten Dateien Schadcode mit Root-Rechten ausführen. Es ist davon auszugehen, dass Instanzen nach erfolgreichen Attacken vollständig kompromittiert sind. Cisco führt aus, dass es bislang noch keine Hinweise auf Attacken gibt.

Weitere Gefahr

Weiterhin haben die Entwickler von Cisco noch eine Sicherheitslücke (CVE-2025-20264 "mittel") in ISE geschlossen. Aufgrund von Fehlern in der SAML-SSO-Implementierung im Kontext von externen Identitätsanbietern können entfernte, aber authentifizierte Angreifer mit bestimmten Befehlen an der Lücke ansetzen. Sind Attacken erfolgreich, können sie Systemeinstellungen verbiegen. Dagegen sind die folgenden ISE-Ausgaben gerüstet: 3.2P8 (Nov 2025), 3.3P5 und 3.4P2.