Bestimmte Versionen von Cisco Identity Services Engine (ISE) und ISE Passive Identity Connector (ISE-PIC) sind von Sicherheitslücken mit Höchstwertung betroffen. Angreifer können nach erfolgreichen Attacken die volle Kontrolle über Systeme erlangen.

Admins, die über ISE unter anderem Netzwerkzugriffe von Firmenmitarbeitern steuern, sollten zügig handeln und die Sicherheitspatches ISE/ISE-PIC 3.3 Patch 6 oder 3.4 Patch 2 installieren. Nicht davon betroffen sind die ISE-Ausgaben bis einschließlich 3.2.

Beide Schwachstellen (CVE-2025-20281, CVE-2025-20282) sind mit dem Bedrohungsgrad "kritisch" und dem höchstmöglichen CVSS Score 10 von 10 eingestuft, wie aus einer Warnmeldung hervorgeht. Angreifer aus der Ferne können in beiden Fällen ohne Authentifizierung an den Lücken ansetzen. Laut Cisco gibt es bislang noch keine Hinweise auf Attacken.

Zudem wurde von den Entwicklern von Cisco eine weitere Sicherheitslücke (CVE-2025-20264 "mittel") in ISE geschlossen. Hier können authentifizierte Angreifer mit bestimmten Befehlen an der Lücke ansetzen und so die Systemeinstellungen bei Erfolg verändern. Die ISE-Ausgaben 3.2P8 (Nov 2025), 3.3P5 und 3.4P2 sind dagegen abgesichert.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE