Η Cisco επιδιορθώνει ένα ακόμη κρίσιμο θέμα ευπάθειας ISE
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η Cisco επιδιορθώνει ένα ακόμη κρίσιμο θέμα ευπάθειας ISE
https://www.secnews.gr/654140/cisco-epidiorthonei-ena-akoma-krisimo-thema-efpatheias-ise/
Jul 17th 2025, 14:25
by Absenta Mia
Η Cisco ενημέρωσε την Τετάρτη τους πελάτες της για ακόμη μία ευπάθεια κρίσιμης σοβαρότητας στο Identity Services Engine (ISE) και στο ISE Passive Identity Connector (ISE-PIC), η οποία θα μπορούσε να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα (RCE).
Δείτε επίσης: Cisco: Το Unified CM έχει hardcoded διαπιστευτήρια SSH root
Σε ενημέρωση που δημοσιεύτηκε στις 25 Ιουνίου και αφορούσε δύο παρόμοιες ευπάθειες (CVE-2025-20281 και CVE-2025-20282), η εταιρεία πρόσθεσε έναν νέο κωδικό CVE, προειδοποιώντας τους χρήστες ότι η σοβαρότητα της ευπάθειας είναι μέγιστη.
Η νέα ευπάθεια, με τον κωδικό CVE-2025-20337, έχει βαθμολογία CVSS 10/10 — την ίδια με τις δύο προηγούμενες — και επηρεάζει την ίδια διεπαφή API με την CVE-2025-20281. Σύμφωνα με την εταιρεία, η ανεπαρκής επικύρωση των δεδομένων που παρέχονται από τον χρήστη θα μπορούσε να επιτρέψει σε έναν επιτιθέμενο να υποβάλει τροποποιημένο API αίτημα και να αποκτήσει δικαιώματα root στη συσκευή που έχει επηρεαστεί.
Τα προβλήματα ασφαλείας εντοπίζονται στις εκδόσεις 3.3 και 3.4 του Cisco ISE και ISE-PIC, και έχουν αντιμετωπιστεί στις εκδόσεις 3.3 patch 7 και 3.4 patch 2.
Δείτε ακόμα: Cisco: Κρίσιμες ευπάθειες στο Cisco Identity Services Engine (ISE)
Την Τρίτη, η Cisco ανακοίνωσε επίσης διορθώσεις για την ευπάθεια CVE-2025-20274 (βαθμολογία CVSS 6.3), η οποία χαρακτηρίζεται ως υψηλής σοβαρότητας και εντοπίζεται στη διαδικτυακή διαχειριστική διεπαφή του Unified Intelligence Center. Η ευπάθεια αυτή θα μπορούσε να αξιοποιηθεί για αυθαίρετες αποστολές αρχείων.
Η ανεπαρκής επικύρωση των αρχείων που αποστέλλονται μέσω της διεπαφής επιτρέπει σε εξ αποστάσεως επιτιθέμενους με έγκυρα διαπιστευτήρια να αποθηκεύσουν κακόβουλα αρχεία στο σύστημα, οδηγώντας σε εκτέλεση αυθαίρετων εντολών. Η ευπάθεια μπορεί να αξιοποιηθεί για αναβάθμιση δικαιωμάτων σε root, κάτι που αυξάνει τη σοβαρότητά της, σύμφωνα με τη Cisco. Οι σχετικές διορθώσεις περιλαμβάνονται στις εκδόσεις Unified Intelligence Center 12.5(1) SU ES05 και 12.6(2) ES05. Η Cisco συνιστά στους χρήστες των Unified CCX εκδόσεων 12.5(1) SU3 και παλαιότερων να μεταβούν στην έκδοση 15, η οποία δεν επηρεάζεται.
Η εταιρεία ανακοίνωσε επίσης διορθώσεις για ευπάθειες μέτριας σοβαρότητας σε ISE και ISE-PIC, Evolved Programmable Network Manager (EPNM), Prime Infrastructure και Unified Intelligence Center.
Δείτε επίσης: Η Cisco προειδοποιεί για ελαττώματα ISE και CCP
Η Cisco σημειώνει ότι, μέχρι στιγμής, δεν υπάρχουν ενδείξεις πως καμία από αυτές τις ευπάθειες έχει αξιοποιηθεί σε πραγματικές επιθέσεις. Περισσότερες πληροφορίες υπάρχουν στη σελίδα συμβουλών ασφαλείας της εταιρείας.
Πηγή: securityweek
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Η Cisco επιδιορθώνει ένα ακόμη κρίσιμο θέμα ευπάθειας ISE
https://www.secnews.gr/654140/cisco-epidiorthonei-ena-akoma-krisimo-thema-efpatheias-ise/
Jul 17th 2025, 14:25
by Absenta Mia
Η Cisco ενημέρωσε την Τετάρτη τους πελάτες της για ακόμη μία ευπάθεια κρίσιμης σοβαρότητας στο Identity Services Engine (ISE) και στο ISE Passive Identity Connector (ISE-PIC), η οποία θα μπορούσε να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα (RCE).
Δείτε επίσης: Cisco: Το Unified CM έχει hardcoded διαπιστευτήρια SSH root
Σε ενημέρωση που δημοσιεύτηκε στις 25 Ιουνίου και αφορούσε δύο παρόμοιες ευπάθειες (CVE-2025-20281 και CVE-2025-20282), η εταιρεία πρόσθεσε έναν νέο κωδικό CVE, προειδοποιώντας τους χρήστες ότι η σοβαρότητα της ευπάθειας είναι μέγιστη.
Η νέα ευπάθεια, με τον κωδικό CVE-2025-20337, έχει βαθμολογία CVSS 10/10 — την ίδια με τις δύο προηγούμενες — και επηρεάζει την ίδια διεπαφή API με την CVE-2025-20281. Σύμφωνα με την εταιρεία, η ανεπαρκής επικύρωση των δεδομένων που παρέχονται από τον χρήστη θα μπορούσε να επιτρέψει σε έναν επιτιθέμενο να υποβάλει τροποποιημένο API αίτημα και να αποκτήσει δικαιώματα root στη συσκευή που έχει επηρεαστεί.
Τα προβλήματα ασφαλείας εντοπίζονται στις εκδόσεις 3.3 και 3.4 του Cisco ISE και ISE-PIC, και έχουν αντιμετωπιστεί στις εκδόσεις 3.3 patch 7 και 3.4 patch 2.
Δείτε ακόμα: Cisco: Κρίσιμες ευπάθειες στο Cisco Identity Services Engine (ISE)
Την Τρίτη, η Cisco ανακοίνωσε επίσης διορθώσεις για την ευπάθεια CVE-2025-20274 (βαθμολογία CVSS 6.3), η οποία χαρακτηρίζεται ως υψηλής σοβαρότητας και εντοπίζεται στη διαδικτυακή διαχειριστική διεπαφή του Unified Intelligence Center. Η ευπάθεια αυτή θα μπορούσε να αξιοποιηθεί για αυθαίρετες αποστολές αρχείων.
Η ανεπαρκής επικύρωση των αρχείων που αποστέλλονται μέσω της διεπαφής επιτρέπει σε εξ αποστάσεως επιτιθέμενους με έγκυρα διαπιστευτήρια να αποθηκεύσουν κακόβουλα αρχεία στο σύστημα, οδηγώντας σε εκτέλεση αυθαίρετων εντολών. Η ευπάθεια μπορεί να αξιοποιηθεί για αναβάθμιση δικαιωμάτων σε root, κάτι που αυξάνει τη σοβαρότητά της, σύμφωνα με τη Cisco. Οι σχετικές διορθώσεις περιλαμβάνονται στις εκδόσεις Unified Intelligence Center 12.5(1) SU ES05 και 12.6(2) ES05. Η Cisco συνιστά στους χρήστες των Unified CCX εκδόσεων 12.5(1) SU3 και παλαιότερων να μεταβούν στην έκδοση 15, η οποία δεν επηρεάζεται.
Η εταιρεία ανακοίνωσε επίσης διορθώσεις για ευπάθειες μέτριας σοβαρότητας σε ISE και ISE-PIC, Evolved Programmable Network Manager (EPNM), Prime Infrastructure και Unified Intelligence Center.
Δείτε επίσης: Η Cisco προειδοποιεί για ελαττώματα ISE και CCP
Η Cisco σημειώνει ότι, μέχρι στιγμής, δεν υπάρχουν ενδείξεις πως καμία από αυτές τις ευπάθειες έχει αξιοποιηθεί σε πραγματικές επιθέσεις. Περισσότερες πληροφορίες υπάρχουν στη σελίδα συμβουλών ασφαλείας της εταιρείας.
Πηγή: securityweek
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz