Aanvallers maken actief misbruik van kritieke kwetsbaarheden in Cisco Identity Services Engine (ISE) en Cisco ISE Passive Identity Connector (ISE-PIC) waardoor kwetsbare servers volledig op afstand zijn over te nemen. Dat heeft Cisco bekendgemaakt. Cisco ISE is een 'network access control' oplossing waarmee organisaties kunnen beheren welke endpoints, gebruikers en apparaten toegang tot het netwerk krijgen.

De in totaal drie kwetsbaarheden die Cisco in het beveiligingsbulletin noemt hebben een impact van 10.0 op een schaal van 1 tot en met 10. De eerste twee kwetsbaarheden (CVE-2025-20281 en CVE-2025-20337) maken het mogelijk voor een ongeauthenticeerde, remote aanvaller om als root willekeurige code op het onderliggende besturingssysteem uit te voeren. Hiervoor volstaat het versturen van een speciaal geprepareerd API request. Volgens Cisco wordt het probleem veroorzaakt door onvoldoende validatie van gebruikersinvoer.

Het tweede beveiligingslek (CVE-2025-20282) maakt ook remote code execution mogelijk. In dit geval kan een aanvaller bestanden naar het systeem uploaden en zo willekeurige code uitvoeren of rootrechten op het systeem krijgen. Dit probleem wordt volgens Cisco veroorzaakt door een gebrek aan "file validation checks", waardoor een aanvaller zijn bestanden kan uploaden naar directories op de server waar dit eigenlijk niet zou moeten.

Cisco kwam eind juni met updates en stelde dat het toen nog niet met misbruik bekend was. In eerste instantie maakte het beveiligingsbulletin alleen melding van CVE-2025-20281 en CVE-2025-20282, maar op 16 juli werd CVE-2025-20337 daar ook aan toegevoegd. Cisco geeft geen details over de waargenomen aanvallen.