Các lỗ hổng được theo dõi với mã định danh CVE-2025-20281 và CVE-2025-20282 với điểm CVSS: 10.0. Lỗ hổng đầu tiên ảnh hưởng đến ISE và ISE-PIC phiên bản 3.4 và 3.3, trong khi lỗ hổng thứ hai chỉ ảnh hưởng đến phiên bản 3.4.

Theo Cisco, nguyên nhân tồn tại lỗ hổng CVE-2025-20281 là việc xác thực không đầy đủ dữ liệu đầu vào do người dùng cung cấp trong một API bị rò rỉ cụ thể. Điều này cho phép kẻ tấn công từ xa gửi yêu cầu API được thiết kế đặc biệt để thực thi các lệnh tùy ý.

Trong khi đó, việc xác thực tệp không chặt chẽ trong API local, cho phép ghi tệp vào các thư mục đặc quyền là điểm yếu dẫn đến lỗ hổng CVE-2025-20282. Lỗ hổng này cho phép kẻ tấn công từ xa tải tệp tùy ý lên hệ thống mục tiêu và thực thi chúng với quyền root.

Được biết, ISE là nền tảng quản lý chính sách bảo mật mạng và kiểm soát truy cập được các tổ chức, doanh nghiệp sử dụng để quản lý kết nối mạng của họ, đóng vai trò là công cụ kiểm soát truy cập mạng (NAC), quản lý danh tính và thực thi chính sách.

Nếu khai thác thành công hai lỗ hổng này, kẻ tấn công có thể xâm nhập và chiếm quyền điều khiển từ xa thiết bị mục tiêu mà không cần bất kỳ xác thực hoặc tương tác nào của người dùng.

Cisco lưu ý chưa phát hiện bất kỳ trường hợp khai thác tích cực nào đối với CVE-2025-20281 và CVE-2025-20282, tuy nhiên các tổ chức cần chủ động ưu tiên cập nhật các bản vá mới nhất. Theo đó, Cisco khuyến cáo nâng cấp lên phiên bản 3.3 Patch 6 (ise-apply-CSCwo99449_3.3.0.430_patch4) và 3.4 Patch 2 (ise-apply-CSCwo99449_3.4.0.608_patch1) hoặc mới hơn.

Trong một diễn biến khác, Cisco cũng đã thông báo về lỗ hổng vượt qua xác thực (CVE-2025-20264) cũng ảnh hưởng đến ISE. Lỗ hổng này tồn tại do việc thực thi ủy quyền không đầy đủ đối với người dùng được tạo thông qua tích hợp SSO của SAML với nhà cung cấp định danh bên ngoài. Kẻ tấn công có thông tin xác thực SSO hợp lệ có thể gửi một chuỗi lệnh cụ thể để sửa đổi cài đặt hệ thống hoặc thực hiện khởi động lại hệ thống.