Skip to content
arrow-alt-circle-up icon

Cyber Incident?

arrow-alt-circle-up icon

Call 00800 1744 0000

arrow-alt-circle-up icon

Dutch follows English

 

On 25 June 2025, critical vulnerabilities were identified in Cisco Identity Services Engine (ISE) and ISE-PIC. These vulnerabilities allows unauthenticated threat actors with network access to the API interface to execute arbitrary code on compromised systems [1]. We find it likely that these vulnerabilities will be abused in the short term. Immediate patching is required. The vulnerabilities are not dependent on one another. That means, exploitation of one of the vulnerabilities is not required to exploit the other vulnerability. The NCSC describes these vulnerabilities as NCSC-2025-204 [2].

Description 

The vulnerability tracked as CVE-2025-20281 (CVSS 9.8) allows an unauthenticated, remote threat actor with access to the API interface to execute arbitrary code as root by submitting a crafted API request.

The following versions are vulnerable to CVE-2025-20281:

  • Cisco ISE and ISE-PIC version 3.3 and later

Note that this vulnerability does not affect Cisco ISE and ISE-PIC version 3.2 and earlier.

 

The vulnerability tracked as CVE-2025-20282 (CVSS 10.0) allows an unauthenticated, remote threat actor to upload arbitrary files to an affected device and execute these as root.

The following versions are vulnerable to CVE-2025-20282:

  • Cisco ISE and ISE-PIC only version 3.4

Note that this vulnerability does not affect Cisco ISE and ISE-PIC version 3.3 or earlier.

 

Impact

We estimate the impact of these vulnerabilities as high. Unauthorized access could allow attackers to take control of systems running vulnerable versions of Cisco ISE or ISE-PIC, extensively compromising sensitive data and functionalities.

Risk 

We estimate the risk of these vulnerabilities as high. Exploitation of these vulnerabilities is straightforward for skilled attackers, and the effects could be catastrophic for affected organizations, including data loss and disruption of services.
 

Mitigation 

Cisco has released software updates to address these vulnerabilities, as described in the table below:

 
 
 

Cisco ISE or ISE-PIC Release

 

First Fixed Release for CVE-2025-20281

 

First Fixed Release for CVE-2025-20282

 

3.2 and earlier

Not vulnerable

Not vulnerable

3.3

3.3 Patch 6
ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz

Not vulnerable

3.4

3.4 Patch 2
ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz

3.4 Patch 2
ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz
 
 

What should you do? 

We recommend updating the CiscoISE and/or ISE-PIC as soon as possible if you use a vulnerable version of the software.

What will Northwave do? 

Vulnerability Management customers will be informed in case vulnerable systems are detected in their infrastructure.

Northwave will monitor the situation closely and provide updates to our customers based on further developments. We recommend all customers review their cybersecurity posture to ensure appropriate measures are implemented.

E-mail: soc@northwave-cybersecurity.com
Do you have an incident right now? Call our Incident Response Team: 00800 1744 0000
 

Disclaimer applies, see below. 

Sources 

[1]: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6

[2]: https://advisories.ncsc.nl/advisory?id=NCSC-2025-0204

 

 

Beste lezer,

Op 25 juni 2025 zijn kritieke kwetsbaarheden vastgesteld in Cisco Identity Services Engine (ISE) en ISE-PIC. Deze kwetsbaarheden stellen niet-geauthenticeerde kwaadwillenden met netwerktoegang tot de API-interface in staat om willekeurige code uit te voeren op gecompromitteerde systemen [1]. Wij achten het waarschijnlijk dat deze kwetsbaarheden op korte termijn zullen worden misbruikt. Direct patchen is noodzakelijk. De kwetsbaarheden zijn onafhankelijk van elkaar. Dat betekent dat uitbuiting van de ene kwetsbaarheid niet vereist is om de andere te misbruiken. Het NCSC beschrijft deze kwetsbaarheden als NCSC-2025-204 [2].

Beschrijving 

De kwetsbaarheid met kenmerk CVE-2025-20281 (CVSS 9.8) stelt een niet-geauthenticeerde, externe aanvaller met toegang tot de API-interface in staat om willekeurige code als root uit te voeren door een speciaal vervaardigd API-verzoek in te dienen.

De volgende versies zijn kwetsbaar voor CVE-2025-20281:

  • Cisco ISE en ISE-PIC versie 3.3 en later

Let op: deze kwetsbaarheid treft Cisco ISE en ISE-PIC versie 3.2 en eerder niet.

De kwetsbaarheid met kenmerk CVE-2025-20282 (CVSS 10.0) stelt een niet-geauthenticeerde, externe aanvaller in staat om willekeurige bestanden te uploaden naar een getroffen apparaat en deze als root uit te voeren.

De volgende versies zijn kwetsbaar voor CVE-2025-20282:

  • Alleen Cisco ISE en ISE-PIC versie 3.4

Let op: deze kwetsbaarheid treft Cisco ISE en ISE-PIC versie 3.3 of eerder niet.

Impact 

Wij schatten de impact van deze kwetsbaarheden als hoog in. Ongeautoriseerde toegang kan aanvallers in staat stellen om systemen met kwetsbare versies van Cisco ISE of ISE-PIC over te nemen, met als gevolg een ernstige aantasting van gevoelige gegevens en functionaliteiten.

Risico 

Wij schatten het risico van deze kwetsbaarheden als hoog in. Voor vaardige aanvallers is uitbuiting relatief eenvoudig, en de gevolgen kunnen catastrofaal zijn voor getroffen organisaties, waaronder gegevensverlies en verstoring van diensten.

Mitigatie 

Cisco heeft software-updates uitgebracht om deze kwetsbaarheden aan te pakken, zoals weergegeven in onderstaande tabel:

 

Cisco ISE or ISE-PIC Release

 

First Fixed Release for CVE-2025-20281

 

First Fixed Release for CVE-2025-20282

 

3.2 en vorige versies

Niet kwetsbaar

Niet kwetsbaar

3.3

3.3 Patch 6
ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz

Niet kwetsbaar

3.4

3.4 Patch 2
ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz

3.4 Patch 2
ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz
 
 

Wat moet u doen? 

Wij raden aan om Cisco ISE en/of ISE-PIC zo snel mogelijk bij te werken als u een kwetsbare versie van de software gebruikt.

Wat doet Northwave? 

Northwave informeert Vulnerability Management klanten wanneer in hun infrastructuur kwetsbare systemen worden ontdekt.  

Northwave houdt de ontwikkelingen omtrent deze kwetsbaarheden in de gaten. Als er belangrijke nieuwe informatie omtrent deze dreiging bekend wordt, stellen wij u hiervan op de hoogte. Als u behoefte heeft aan extra informatie zijn we zowel telefonisch als via email bereikbaar.
 

E-mail: soc@northwave-cybersecurity.com
Heeft u nu een incident? Bel ons Incident Response Team: 00800 1744 0000  

 
Disclaimer is van toepassing, zie onder. 

Bronnen 

[1]: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6

[2]: https://advisories.ncsc.nl/advisory?id=NCSC-2025-0204

 

 

Disclaimer

Northwave has made every effort to make this information accurate and reliable. However, the information provided is without warranty of any kind and its use is at the sole risk of the user. Northwave does not accept any responsibility or liability for the accuracy, content, completeness, legality or reliability of the information provided. We will not be liable for any loss or damage of whatever nature, direct or indirect, consequential or other, whether arising in contract, tort or otherwise, which may arise as a result of your use of, or inability to use, this information or any additional information provided by us in direct or indirect relation to the information provided here.
 
.