A Cisco 10 biztonsági közleményt tett közzé, amelyben többek között az Identity Services Engine (ISE) és az Unified Intelligence Center két súlyos sérülékenységét is javította.
Az ISE-t érintő, CVE-2025-20152 azonosítón nyomon követett sérülékenység a RADIUS üzenetfeldolgozási funkcióra van hatással. A sebezhetőség távolról, hitelesítés nélkül kihasználható, valamint az ISE újraindítását idézheti elő, ami szolgáltatásmegtagadási (DoS) állapothoz vezet. A CISCO tájékoztatása alapján ez a sebezhetőség bizonyos RADIUS kérelmek nem megfelelő kezeléséből adódik. A támadó kihasználhatja ezt a sebezhetőséget úgy, hogy egy meghatározott hitelesítési kérelmet küld egy olyan hálózati hozzáférési eszköznek (NAD), amely Cisco ISE-t használ hitelesítéshez, hozzáférés engedélyezéshez és naplózáshoz.
A CISCO a Unified Intelligence Centerben is javított egy magas súlyosságú sérülékenységet , amelyet a CVE-2025-20113 azonosítón követnek nyomon. Ez lehetővé teheti a hitelesített támadók számára, hogy jogosultságaikat adminisztrátori szintre emeljék a sebezhető rendszer korlátozott funkciójú felhasználói fiókjából. A CISCO állítása alapján a sérülékenység oka a felhasználó által megadott paraméterek nem megfelelő szerveroldali érvényesítése az API- vagy HTTP-kérelmekben. A támadó úgy használhatja ki ezt a sebezhetőséget, hogy speciálisan kialakított API- vagy HTTP-kérelmet küld az érintett rendszernek.
A CVE-2025-20114 közepes súlyosságú sérülékenységet szintén ebben a csomagban javították, amely a jogosultságok horizontális kiterjesztésére adhat lehetőséget. Ezen sérülékenység oka az API-kérelmek felhasználói által megadott paramétereinek nem megfelelő érvényesítése. A sérülékenység kihasználásához a támadó olyan célzott API-kéréseket alkalmazhat, amelyek egy nem biztonságos közvetlen objektum-referencián (IDOR) alapulnak. Ez jogosulatlan hozzáférést tesz lehetővé a támadó számára.
A közepes súlyosságú hibákat a Webex, a Webex Meetings, a Secure Network Analytics Manager, a Secure Network Analytics Virtual Manager, az ISE, a Duo, a Unified Communications and Contact Center Solutions és a Unified Contact Center Enterprise (CCE) alkalmazásokban is javították.
A sérülékenységek sikeres kihasználása:
- XSS-támadásokhoz,
- a gyorsítótárban tárolt HTTP válaszok manipulálásához,
- tetszőleges parancsvégrehajtáshoz,
- az elemzési jelentésekben szereplő csalárd megállapításokhoz,
- tetszőleges parancsinjektáláshoz,
- jogosultságkiterjesztéshez
- és adatmanipulációhoz vezethet.
A Cisco állítása szerint nincs tudomása arról, hogy ezeket a sebezhetőségeket a támadók aktívan kihasználnák.