Kritische Sicherheitslücke in Cisco Identity Services Engine

Das Unternehmen Cisco veröffentlichte am 4. Juni eine Sicherheitsmeldung zur kritischen Sicherheitslücke CVE-2025-20286 in der Software Identity Services Engine (ISE). CVE-2025-20286 hat einen CVSS-Score von 9.9/10 und ermöglicht Angreifenden folgende Aktionen:

• Administrative Privilegien erlangen.
• Dateien manipulieren.
• Informationen abgreifen.
• Denial-of-Service-Attacken (DoS) auslösen.

Betroffen sind die Versionen 3.1, 3.2, 3.3 und 3.4 von ISE. Für alle Versionen stellt Cisco einen Hotfix bereit, der die Lücke temporär schließt. 

Für die Versionen 3.3 und 3.4 wird Cisco mit 3.3P8 und 3.4P3 abgesicherte Updates im Herbst 2025 zur Verfügung stellen, die die Lücke dauerhaft schließen werden. Weiter wird der Hersteller im August 2025 mit 3.5 eine aktualisierte Version publizieren, die von der Lücke nicht mehr betroffen sein wird.

Die Versionen 3.1 und 3.2 erhalten laut Cisco keine Patches mit dauerhafter Wirkung. Nutzende dieser beiden Versionen sollten daher auf eine höhere Version wechseln.

• Installieren Sie umgehend und unabhängig von der verwendeten Cisco-ISE-Version den bereitgestellten Hotfix. Den Hotfix finden Sie in der unten aufgeführten Sicherheitsmeldung von Cisco verlinkt.
• Installieren Sie umgehend und je nach Konfiguration die Version 3.3P8, 3.4P3 oder 3.5 von Cisco ISE, sobald diese Versionen verfügbar sind.
• Wenn Sie die Version 3.1 oder 3.2 von Cisco ISE verwenden, wechseln Sie zeitnah auf eine höhere Version.