Teils kritische Sicherheitslücken in Cisco Identity Services Engine

Das Unternehmen Cisco veröffentlichte am 25. Juni 2025 zwei Sicherheitsmeldungen zu den folgenden drei Sicherheitslücken in der Cisco Identity Services Engine (ISE):

• CVE-2025-20281 und CVE-2025-20282 mit jeweils dem maximalen CVSS-Score von 10/10 ermöglichen Angreifenden, Authentifizierungen zu umgehen und beliebigen Schadcode auf betroffenen Systemen auszuführen. Angreifende können dadurch betroffene Systeme übernehmen. CVE-2025-20281 betrifft ISE und ISE-PIC ab der Version 3.3. CVE-2025-20282 betrifft die aktuelle Version 3.4 von ISE und ISE-PIC. Angreifende können die Schwachstellen unabhängig voneinander ausnutzen.
• CVE-20254-20264 mit einem CVSS-Score von 6.4/10 ermöglicht Angreifenden, Sicherheitsmechanismen zu umgehen und administrative Funktionen auszuführen. Die Sicherheitslücke betrifft die ISE-Versionen 3.1 und früher, 3.2, 3.3 und 3.4.

Cisco stellt abgesicherte Versionen und Patches bereit, die die Lücken schließen. Die Verweise zu den Updates finden Sie in den unten verlinkten Sicherheitsmeldungen von Cisco.

Installieren Sie umgehend und je nach Konfiguration eine abgesicherte Versionen Ihrer ISE- oder ISE-PIC-Instanz.