ADVERTENCIA: Dos vulnerabilidades críticas se han parcheado en Cisco Identity Services Engine (ISE), ¡parche de inmediato!

febrero 8, 2025

CVE-2025-20124: Vulnerabilidad de deserialización insegura de Cisco ISE ISE
Una vulnerabilidad en una API de Cisco ISE podría permitir que un atacante remoto autenticado ejecute comandos arbitrarios como el usuario raíz en un dispositivo afectado.

Esta vulnerabilidad se debe a la deserialización insegura de las transmisiones de bytes Java suministradas por el usuario por el software afectado. Un atacante podría explotar esta vulnerabilidad enviando un objeto Java serializado diseñado a una API afectada. Una exploit exitosa podría permitir al atacante ejecutar comandos arbitrarios en el dispositivo y elevar los privilegios.

CVE-2025-20124: Vulnerabilidad de deserialización insegura de Cisco ISE ISE
Una vulnerabilidad en una API de Cisco ISE podría permitir a un atacante remoto autenticado con credenciales válidas de solo lectura para obtener información confidencial, cambiar las configuraciones de nodos y reiniciar el nodo.

Esta vulnerabilidad se debe a la falta de autorización en una API específica y una validación inadecuada de datos suministrados por el usuario. Un atacante podría explotar esta vulnerabilidad enviando una solicitud HTTP diseñada a una API específica en el dispositivo. Una exploit exitosa podría permitir al atacante al atacante obtener información, modificar la configuración del sistema y volver a cargar el dispositivo.

Aviso de proveedores: https://sec.cloudapps.cisco.com/security/center/content/ciscosecurityadvisory/cisco-sa-ise-multivuls-ftw9aoxf

Source link

ADVERTENCIA: Dos vulnerabilidades críticas se han parcheado en Cisco Identity Services Engine (ISE), ¡parche de inmediato!

Vulnerabilidad de derivación de restricción de seguridad de los productos Apple Productos

ALERTA DE SEGURIDAD (A25-06-11): Vulnerabilidades múltiples en Microsoft Edge

Vulnerabilidades múltiples en productos Splunk (13 de junio de 2025)