Cisco lança patches para vulnerabilidade crítica

A Cisco anunciou correções para um conjunto de vulnerabilidades, incluindo uma falha classificada como gravidade crítica que impacta as implementações em cloud do Identity Services Engine (ISE).

A vulnerabilidade, rastreada como CVE-2025-20286, tem por base credenciais geradas de forma incorreta aquando da implementação do ISE no Amazon Web Services (AWS), Microsoft Azure e Oracle Cloud Infrastructure (OCI).

As credenciais são depois partilhadas entre várias implementações do ISE. “Uma exploração bem-sucedida pode permitir que o agente de ameaça aceda a dados confidenciais, execute operações administrativas limitadas, modifique as configurações do sistema ou interrompa os serviços nos sistemas afetados”, revelou a Cisco.

O problema afeta apenas o Cisco ISE quando o nó de administração primária é implantado na nuvem.

Em comunicado, a Cisco revela que existe já um código de exploração de PoC, direcionado à vulnerabilidade. A empresa lançou hot fixes que se aplicam às versões 3.1 a 3.4 do ISE.

Das vulnerabilidades restantes, duas são falhas de alta gravidade relacionadas com a conetividade SSH do Integrated Management Controller (IMC) e do Nexus Dashboard Fabric Controller (NDFC).

A Cisco também lançou correções para nove falhas de gravidade média em produtos de Comunicações Unificadas, Unified Contact Center Express (Unified CCX), ThousandEyes Endpoint Agent para Windows, Identity Services Engine (ISE), ISE Passive Identity Connector (ISE-PIC), Unified Intelligent Contact Management Enterprise e Customer Collaboration Platform (CCP).