Cisco heeft een nieuwe maximaal-ernstige kwetsbaarheid van de beveiliging van de Identity Services (ISE) en Cisco ISE Passive Identity Connector (ISE-PIC) bekendgemaakt die een aanvaller in staat zou kunnen stellen om willekeurige code op het onderliggende besturingssysteem met verhoogde privileges uit te voeren.
Opgehouden als CVE-2025-20337, draagt de tekortkoming een CVSS-score van 10.0 en is vergelijkbaar met CVE-2025-20281, die eind vorige maand werd gepatcht door de netwerkapparatuur.
“Meerdere kwetsbaarheden in een specifieke API van Cisco ISE en Cisco Ise-PIC kan een niet-geauthenticeerde, externe aanvaller in staat stellen willekeurige code uit te voeren op het onderliggende besturingssysteem als root. De aanvaller heeft geen geldige referenties nodig om deze kwetsbaarheden te exploiteren,” zei het bedrijf in een bijgewerkte advies.
“Deze kwetsbaarheden zijn te wijten aan onvoldoende validatie van door de gebruiker geleverde input. Een aanvaller kan deze kwetsbaarheden exploiteren door een vervaardigd API-verzoek in te dienen. Een succesvolle exploit kan de aanvaller in staat stellen rootprivileges op een getroffen apparaat te verkrijgen.”
Kentaro Kawane van GMO Cybersecurity is gecrediteerd voor het ontdekken en rapporteren van de fout. Kawane werd eerder erkend voor twee andere kritische Cisco ISE-fouten (CVE-2025-20286 en CVE-2025-20282) en een andere kritische bug in Fortinet FortiWeb (CVE-2015-25257)
CVE-2025-20337 beïnvloedt ISE en ISE-PIC releases 3.3 en 3.4, ongeacht de apparaatconfiguratie. Het heeft geen invloed op ISE en ISE-PIC release 3.2 of eerder. Het probleem is in de volgende versies gepatcht –
- Cisco ISE of ISE-PIC release 3.3 (gefixeerd in 3,3 patch 7)
- Cisco ISE of ISE-PIC release 3.4 (vastgelegd in 3,4 patch 2)
Er is geen bewijs dat de kwetsbaarheid is benut in een kwaadaardige context. Dat gezegd hebbende, het is altijd een goede gewoonte om ervoor te zorgen dat systemen up-to-date worden gehouden om mogelijke bedreigingen te voorkomen.
De openbaarmaking komt wanneer de Shadowerver Foundation meldde dat dreigingsactoren waarschijnlijk openbaar worden uitgebracht, exploits geassocieerd met CVE-2025-25257 om webschalen te laten vallen op gevoelige Fortinet Fortiweb-instanties sinds 11 juli 2025.
Vanaf 15 juli zijn er naar schatting 77 geïnfecteerde instanties, tegen 85 de dag ervoor. Het merendeel van de compromissen is geconcentreerd rond Noord -Amerika (44), Azië (14) en Europa (13).
Uit gegevens van het aanval Surface Management Platform Censys blijkt dat er online 20.098 Fortinet FortiWeb-apparaten zijn, met uitzondering van honeypots, hoewel het momenteel niet bekend is hoeveel hiervan kwetsbaar zijn voor CVE-2025-25257.
“Met deze fout kunnen niet -geauthenticeerde aanvallers willekeurige SQL -opdrachten uitvoeren via bewerkte HTTP -aanvragen, wat leidt tot externe code -uitvoering (RCE),” zei Censys.
