Les défauts de contournement de désérialisation et d’autorisation insécurité pourraient permettre aux attaquants de dégénérer les privilèges et d’exécuter des commandes arbitraires.
Cisco avertit les administrateurs d’entreprise de deux défauts critiques dans sa solution d’identité et d’accès à la gestion (IAM), d’identité des services d’identité (ISE), qui pourraient permettre aux attaquants d’obtenir des privilèges non autorisés et d’exécuter des commandes arbitraires sur les systèmes affectés.
Suivi en CVE-2025-20124 et CVE-2025-20125, les défauts ont reçu une cote de gravité critique des CVS 9,9 et 9,1 sur 10, respectivement.
« De multiples vulnérabilités dans Cisco ISE pourraient permettre à un attaquant distant authentifié d’exécuter des commandes arbitraires et d’élever des privilèges sur un appareil affecté », a déclaré Cisco dans un avis.
Des cotes de gravité critique ont été attribuées aux défauts malgré la nécessité de l’attaquant d’obtenir d’abord des informations d’identification d’administration avant de pouvoir tenter d’exploiter. « Pour exploiter ces vulnérabilités, l’attaquant doit avoir des références administratives en lecture seule valides », a déclaré Cisco. «Tout utilisateur administratif peut être utilisé pour exploiter ces vulnérabilités.»
Les API affectées souffrent de désérialisation et de défauts d’autorisation
Selon l’avocat, une API de Cisco ISE est sujette à la désérialisation en insécurité des flux d’octets Java fournis par l’utilisateur. Un acteur de menace pourrait exploiter cela en envoyant un objet Java sérialisé conçu à l’API affectée.
La vulnérabilité, CVE-2025-20124, «pourrait permettre à un attaquant distant authentifié d’exécuter des commandes arbitraires en tant qu’utilisateur racine sur un appareil affecté.» L’exploitation réussie de la vulnérabilité, qui oblige les attaquants à avoir des informations d’identification en lecture seule valides, entraînera une exécution arbitraire de code et des privilèges élevés.
Une API de Cisco ISE, que Cisco n’a pas confirmé être la même que celle affectée par CVE-2025-20124, pourrait permettre aux attaquants des mêmes informations d’identification d’administration d’obtenir des informations sensibles, de modifier les configurations de nœud et de redémarrer le nœud.
« Cette vulnérabilité (CVE-2025-20125) est due à un manque d’autorisation dans une API spécifique et une mauvaise validation des données fournies par l’utilisateur », a ajouté Cisco. «Un attaquant pourrait exploiter cette vulnérabilité en envoyant une demande HTTP fabriquée à une API spécifique sur l’appareil.»
Roy Akerman, vice-président de la stratégie de sécurité d’identité à Silverfort trouve ce défaut particulièrement dangereux pour sa capacité à provoquer des attaques basées sur l’identité.
Un correctif est disponible, indépendamment des contrats de service
Les vulnérabilités ont un impact sur les appareils Cisco ISE et Cisco Identity Connector (ISE-PIC), quelle que soit la configuration de l’appareil, a ajouté la société. Toutes les versions avant V3.4, qui ne sont pas affectées, sont fournies par un correctif.
Les correctifs sont disponibles selon les versions affectées, y compris 3.1p10 pour 3.1, 3,2p7 pour 3,2 et 3,3p4 pour 3,3. Pour les utilisateurs exécutant la version 3.0 et plus tôt, Cisco a recommandé de migrer vers une version fixe. Comme les défauts affectent toutes les configurations et qu’aucune solution de contournement n’est disponible pour la protection, la réparation des systèmes affectés est le seul moyen de sortir de l’exploitation.
Cisco a déclaré dans l’avis que les clients ayant des contrats de service qui apportent des mises à jour régulières obtiendront les correctifs comme les mises à jour d’habitude, tandis que ceux qui n’obtiendront pas des mises à niveau en contactant Cisco TAC. Il n’y a eu aucun cas publiquement signalé de ces insectes exploités dans la nature.
