Vier neue Sicherheitsmitteilungen hat Cisco veröffentlicht und eine ältere aktualisiert. Eine der Sicherheitslücken hat die Einstufung kritisches Risiko mit Höchstwertung erhalten und eine weitere Lücke gilt als hochriskant.

Cisco hat die Sicherheitsmitteilung von Ende Juni zur Ciscos Identity Services Engine (ISE) aktualisiert und den bereits bekannten Lücken mit den Nummern CVE-2025-20281 und CVE-2025-20282 den neuen Eintrag CVE-2025-20337 / EUVD-2025-21708 beiseitegestellt. Der Hersteller erklärt: "Angreifer benötigen keinerlei gültige Zugriffsdaten, um die Lücke zu missbrauchen. [..] Sie können sie durch das Senden einer manipulierten API-Anfrage ausnutzen. Bei Erfolg erhalten Angreifer root-Rechte auf betroffenen Geräten". Cisco ISE und ISE-PIC 3.3 und 3.4 sind betroffen. Die Versionen 3.3 Patch 7 und 3.4 Patch 2 sollen die neu bekannt gewordene Sicherheitslücke schließen.

Zum Cisco Unified Intelligence Center erklärt der Hersteller: "Ein erfolgreicher Exploit erlaubt Angreifern, bösartige Dateien im System abzulegen und beliebige Befehle im Betriebssystem auszuführen" (CVE-2025-20274 / EUVD-2025-21714, CVSS 6.3, Risiko laut Cisco jedoch "hoch"). Cisco erklärt das höher eingestufte Risiko damit, dass Angreifer ihre Rechte zu root ausweiten können.

Zudem hat Cisco weitere Updates bereitgestellt, die Schwachstellen ausbessern sollen. Infos dazu können Interessierte in Cisco Security Advisories nachlesen.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE