Cisco hat Patches für zwei kritische Sicherheitslücken veröffentlicht, die seine Identity Services Engine (ISE)-Lösung plagten. Diese Lücken ermöglichten es, beliebige Befehle auszuführen und sensible Informationen zu stehlen. Cisco forderte seine Benutzer dringend auf, die Fixes so schnell wie möglich anzuwenden.

Die erste Schwachstelle, CVE-2025-20124 genannt, betraf eine „Deserialisierung von benutzerbereitgestellten Java-Byte-Streams“. Ein Angreifer konnte durch das Senden eines benutzerdefinierten serialisierten Java-Objekts an eine betroffene Cisco ISE-API beliebige Befehle ausführen und Privilegien erweitern.

Die zweite Lücke war ein Authentifizierungsbypass-Fehler, bei dem eine API keine Autorisierungsprüfungen durchführte oder bereitgestellte Benutzerdaten nicht ordnungsgemäß validierte. Ein Angreifer konnte eine bösartige HTTP-Anfrage an die API des Geräts senden, um sie auszulösen. Diese Schwachstelle wurde als CVE-2025-20125 bezeichnet und erhielt eine Schweregradbewertung von 9.1/10 (kritisch).

Obwohl diese Lücken gefährlich klingen, sind sie nicht so einfach auszunutzen. Laut Cisco müssten Bedrohungsakteure immer noch authentifiziert sein, und zwar mit einem schreibgeschützten Administratorkonto. Trotzdem sollten die Patches so schnell wie möglich installiert werden, da die Versionen 3.0 – 3.3 als verwundbar gelten. Nutzer sollten sicherstellen, dass ihre Software zumindest auf Version 3.4 aktualisiert wird.

Es gibt bisher keine Hinweise auf Missbrauch in freier Wildbahn. Cisco hat bereits Fixes veröffentlicht, um diese Risiken zu beheben.

Quelle: The Register