Cisco var piyasaya sürülmüş Uzaktan saldırganların keyfi komutlar yürütmesine ve duyarlı cihazlarda ayrıcalıkları yükseltmesine izin verebilecek iki kritik güvenlik kusuru kimlik hizmetleri motorunu (ISE) ele almak için güncellemeler.
Güvenlik açıkları aşağıda listelenmiştir –
- CVE-2025-20124 (CVSS Puanı: 9.9) – Cisco ISE’nin bir API’sinde, kimlik doğrulamalı, uzaktan saldırganın etkilenen bir cihazdaki kök kullanıcı olarak keyfi komutlar yürütmesine izin verebilecek güvensiz bir Java seansizasyon kırılganlığı.
- CVE-2025-20125 (CVSS Puanı: 9.1) – Cisco Ise’nin bir API’sındaki yetkilendirme bypass güvenlik açığı, hassas bilgiler elde etmek, düğüm yapılandırmalarını değiştirmek ve düğümü yeniden başlatmak için geçerli okunaklı kimlik bilgilerine sahip kimlik doğrulamalı, uzaktan saldırganlara izin verebilir.
Bir saldırgan, hazırlanmış bir serileştirilmiş Java nesnesi veya belirtilmemiş bir API uç noktasına HTTP isteği göndererek kusurlardan birini silahlandırabilir ve bu da ayrıcalık artışına ve kod yürütülmesine yol açabilir.
Cisco, iki güvenlik açığının birbirine bağlı olmadığını ve onları azaltacak hiçbir geçici çözüm olmadığını söyledi. Aşağıdaki sürümlerde ele alındılar –
- Cisco ISE yazılım sürümü 3.0 (sabit bir sürüme geçiş yapın)
- Cisco ISE yazılım sürümü 3.1 (3.1p10’da sabit)
- Cisco ISE yazılım sürümü 3.2 (3.2p7’de sabit)
- Cisco ISE yazılım sürümü 3.3 (3.3p4’te sabit)
- Cisco Ise yazılım sürümü 3.4 (savunmasız değil)
Deloitte güvenlik araştırmacıları Dan Marin ve Sebastian Radulea, güvenlik açıklarını keşfetmek ve raporlamakla tanınmışlardır.
Ağ Ekipmanı Binbaşı, kusurların kötü niyetli bir şekilde kullanılmasının farkında olmadığını söylerken, kullanıcılara optimum koruma için sistemlerini güncel tutmaları tavsiye edilir.
