Update: Teils kritische Sicherheitslücken in Cisco Identity Services Engine

Die Warnmeldung wurde am 21. Juli 2025 aufgrund weiterführender Informationen aktualisiert.

Das Unternehmen Cisco veröffentlichte am 25. Juni 2025 bzw. am 16. Juli 2025 zwei Sicherheitsmeldungen zu den folgenden vier Sicherheitslücken in der Cisco Identity Services Engine (ISE):

• CVE-2025-20281, CVE-2025-20282 und CVE-2025-20337 mit jeweils dem maximalen CVSS-Score von 10/10 ermöglichen Angreifenden, Authentifizierungen zu umgehen und beliebigen Schadcode auf betroffenen Systemen auszuführen. Angreifende können dadurch betroffene Systeme übernehmen. CVE-2025-20281 und CVE-2025-20337 betreffen ISE und ISE-PIC ab der Version 3.3. CVE-2025-20282 betrifft die aktuelle Version 3.4 von ISE und ISE-PIC. Angreifende können die Schwachstellen unabhängig voneinander ausnutzen.
• CVE-20254-20264 mit einem CVSS-Score von 6.4/10 ermöglicht Angreifenden, Sicherheitsmechanismen zu umgehen und administrative Funktionen auszuführen. Die Sicherheitslücke betrifft die ISE-Versionen 3.1 und früher, 3.2, 3.3 und 3.4.

Cisco stellt abgesicherte Versionen und Patches bereit, die die Lücken schließen. Die Verweise zu den Updates finden Sie in den unten verlinkten Sicherheitsmeldungen von Cisco.

Installieren Sie umgehend und je nach Konfiguration eine abgesicherte Versionen Ihrer ISE- oder ISE-PIC-Instanz.