Cisco Identity Services Engine (ISE) est une plateforme de contrôle d’accès et de gestion des identités qui permet aux organisations d’appliquer des politiques de sécurité et de conformité sur l’ensemble de leur infrastructure réseau.
La CVE‑2025‑20337 permet à des attaquants non authentifiés d’exécuter des commandes arbitraires avec des privilèges root via des requêtes API spécialement conçues.
La vulnérabilité découle d’une validation insuffisante des entrées dans un point de terminaison (endpoint) API vulnérable.
La vulnérabilité affecte les versions de Cisco ISE/ISE‑PIC antérieures à la 3.3 Patch 7 et 3.4 Patch 2.
La CVE‑2025‑20337 est répertoriée dans le catalogue KEV (Known Exploited Vulnerabilities) de la CISA.
| Produit | Cisco ISE |
| Date | 19/07/2025 13:24:46 |
| Informations |
|
Résumé technique
Cette vulnérabilité découle d’une gestion inappropriée des entrées dans l’une des API web de Cisco ISE. Plus précisément, le défaut réside dans la manière dont les données fournies par l’utilisateur sont assainies avant leur exécution au sein des commandes système.
Un attaquant peut créer une requête HTTP API malveillante pour obtenir une injection de commande non authentifiée, entraînant une exécution de code à distance avec un accès de niveau root.
Aucune authentification n’est requise et l’attaquant n’a pas besoin de privilèges élevés, ce qui en fait un problème critique.
Cisco ISE est souvent déployé dans des environnements d’entreprise sensibles, ce qui augmente le risque de mouvements latéraux étendus après l’exploitation.
Recommandations
Mettre à jour immédiatement : Mettez à jour Cisco ISE/ISE‑PIC vers la version 3.3 Patch 7 ou 3.4 Patch 2. Les correctifs précédents (ex. CVE‑2025‑20281/20282) ne permettent pas d’atténuer cette vulnérabilité.
Limiter l’accès aux API : Assurez-vous que les points de terminaison API concernés ne sont pas exposés publiquement. Limitez l’accès à la gestion aux réseaux internes de confiance.
Vérifier et surveiller : Surveillez les journaux des requêtes API pour détecter des modèles d’accès inhabituels ou des paramètres suspects. Soyez attentif aux anomalies d’exécution et aux pics d’accès privilégiés.
[Callforaction-THREAT-Footer]
Leave a Reply