Laburpen exekutiboa
Cisco-k bere produktuak eragiten dituzten hiru ahultasun identifikatu ditu, berehala arreta jartzea gomendatzen du hauen kritikotasunaren arabera. Larriena (CVSS 8.6) Cisco Identity Services Engine (ISE) produktuan dago, eta erasotzaile urrun ez-autentifikatu bati zerbitzuaren ukazioa (DoS) eragiteko aukera ematen dio, RADIUS eskaera manipulatuekin. Bigarrena (CVSS 7.1) Cisco Unified Intelligence Center (CUIC) produktuan agertzen da eta, kasu honetan, erasotzaile autentifikatu batek administratzaile mailako pribilegioak eskuratu eta datu sentikorrak atzitu, aldatu edo ezabatu ditzake. Hirugarren ahultasuna (CVSS 4.3) ere CUIC produktuari eragiten dio, bere APIari hain zuzen, eta erabiltzaile autentifikatuen artean pribilegio horizontalen eskalada baimenduko luke. Cisco-k dagoeneko argitaratu ditu ahultasun hauek zuzentzen dituzten eguneraketak: ISE 3.4 bertsioa 3.4P1-era eguneratu behar da, CUIC berriz, 12.5(1)SU ES04 edo 12.6(2)ES04 bertsioetara, kasu bakoitzaren arabera. Gomendatzen da ahultasun bakoitzaren lehentasunaren arabera eguneratze hauek aplikatzea, ingurunearen bateragarritasuna egiaztatzea, eta zalantzarik izanez gero Cisco-ren laguntza teknikora jotzea.
Eragindako baliabideak
- Cisco Identity Services Engine (ISE) RADIUS autentifikazio zerbitzuak gaituta dituenekoa
- Cisco ISE Release 3.4
- Cisco Unified Intelligence Center, gailu konfigurazio guztietan, hurrengo Cisco soluzioen zati gisa erabiltzen denean: Packaged Contact Center Enterprise (Packaged CCE) eta Unified Contact Center Enterprise (Unified CCE)
- Cisco Unified Contact Center Express (Unified CCX) (Cisco Unified Intelligence Center software paketearen zati gisa dagoelako)
- Cisco Unified Intelligence Center Release 12.5 eta Release 12.6
- Cisco Unified CCX Release 12.5(1)SU3 eta aurrekoak
Azterketa teknikoa
- CVE-2025-20152: Cisco Identity Services Engine (ISE) RADIUS mezu prozesamendu funtzioan ahultasun bat dago, eta honek erremoteko erasotzaile ez autentifikatu bati zerbitzu ukapen bat (DoS) sortzea ahalbidetuko lioke eragindako gailuan. Ahultasun hau RADIUS eskaera batzuk oker maneiatzeagatik sortzen da. Erasotzaileak ahultasun hau baliatuko luke sareko sarbide gailu bati (NAD) autentifikazio, baimen eta kontabilitate (AAA) eskaera bat bidaliz, Cisco ISE erabiliz. Explotazio arrakastatsua Cisco ISE berrabiaraztea lortuko luke erasotzaileak.
- CWE-125
- CVSS: 8.6 (handia)
- CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
- Explotazioa: Ez da antzeman
- CVE-2025-20113: Cisco Unified Intelligence Center-eko ahultasun bat, erremoteko erasotzaile autentifikatu bati, eragindako sistemaren funtzio mugatu batzuetan Administratzaile pribilegioak igotzea ahalbidetuko lioke. Ahultasun hau erabiltzaileak API edo HTTP eskaeretan emandako parametroen zerbitzari aldeko balidazio nahikorik ez egoteagatik sortzen da. Erasotzaileak ahultasun hau baliatuko luke API edo HTTP eskaera manipulatu bat bidaliz eragindako sistemari. Explotazio arrakastatsua erasotzaileari aurreko sarbide mailaren esparrutik haratago datuak atzitzea, aldatzea edo ezabatzea ahalbidetuko lioke, sistema eragindakoan gordetako informazio potenzialki sentsiblea lortzea barne.
- CWE-602
- CVSS: 7.1 (handia)
- CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N
- Explotazioa: Ez da antzeman
- CVE-2025-20114: Cisco Unified Intelligence Center-eko APIan ahultasun bat dago, eta honek erremoteko erasotzaile autentifikatu bati pribilegioen eskalada horizontal baten eraso bat egitea ahalbidetuko lioke eragindako sisteman. Ahultasun hau erabiltzaileak API eskaeretan emandako parametroen balidazio nahikorik ez egoteagatik sortzen da. Erasotzaileak ahultasun hau baliatuko lioke API eskaera manipulatuak bidaliz eragindako sistemari erreferentzia zuzeneko eraso bat egiteko. Explotazio arrakastatsua erasotzaileari eragindako sistemako erabiltzaile ezberdinekin lotutako datu zehatzak atzitzea ahalbidetuko lioke.
- CWE-639
- CVSS: 4.3 (ertaina)
- CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
- Explotazioa: Ez da antzeman
Arintzea/Konponbidea
Cisco software eguneraketak argitaratu ditu aurkeztutako ahultasunak konpontzeko. Cisco Identity Services Engine-ko RADIUS zerbitzua erabiltzean dagoen ahultasunarentzat, 3.4P1 bertsiora eguneratzea gomendatzen da. Cisco Unified Intelligence Center-eko ahultasunen kasuan, hurrengo eguneraketak proposatzen dira: 12.5 bertsiorako, 12.5(1)SU ES04 bertsiora eguneratu; 12.6 bertsiorako, 12.6(2)ES04 bertsiora eguneratu; 15 bertsioa eta ondorengoak ez dira arazo honetarako ahuleziak. Kasu guztietan, Cisco bezeroei gomendatzen die eguneratuko diren gailuek nahikoa memoria izatea ziurtatzea eta egungo hardware eta software konfigurazioak bertsio berriak ondo eutsiko dituela baieztatzea. Informazioa ez bada argia, bezeroek Cisco Teknologia Laguntza Zentrora (TAC) edo kontratatutako mantenu hornitzaileei jarri beharko diete. Zerbitzu kontraturik ez duten bezeroek Cisco TAC-ekin produktuaren serie zenbakia emanez jarri beharko dute, eta prest egon beharko dira jakinarazpen honen URLa emateko eguneraketa doako bat eskuratzeko eskubidea dutela frogatzeko.