A Cisco revelou uma vulnerabilidade crítica (CVE‑2025‑20337) no Identity Services Engine (ISE) e ISE‑PIC que permite a execução de código como root sem qualquer autenticação, por meio de uma API vulnerável
Origem do problema
A falha está em uma API com validação inadequada de entradas fornecidas pelo usuário, permitindo que invasores façam requisições maliciosas e conquistem privilégios de root
Impacto e escopo
Gravidade máxima, CVSS 10.0, explorável remotamente sem login
Afeta versões 3.3 e 3.4 do ISE e ISE‑PIC; versões anteriores (3.2 e anteriores) não são impactadas
Disponibilidade de mitigação
Cisco lançou correções: ISE 3.3 Patch 7 e ISE 3.4 Patch 2
Não há alternativas sem atualização; é essencial restringir APIs administrativas até aplicar o patch
Exploração em potencial
Até o momento, nenhuma evidência de exploração ativa foi identificada. No entanto, falhas de alta gravidade tendem a ser alvo de ataques rápidos após divulgação pública.
Dica de prevenção
Patching imediato: atualize para ISE 3.3 Patch 7 ou 3.4 Patch 2.
Restrinja acesso: bloqueie ou limite o acesso à API vulnerável via firewall até aplicar o patch.
Monitoramento ativo: implemente detecção de padrões anômalos de API e verifique logs de acesso administrativo.
A vulnerabilidade CVE‑2025‑20337 no Cisco ISE representa risco crítico, pois permite invasão com privilégios totais sem autenticação. Manutenção e restrição de acesso são fundamentais até que todos os sistemas estejam corrigidos.
Para garantir que sua infraestrutura esteja protegida, com processos e expertise para identificar riscos críticos, conte com a LC SEC. Conheça nossos serviços de cibersegurança: lcsec.io