Cisco ha lanzado actualizaciones para abordar vulnerabilidades de seguridad de gravedad media en Identity Services Engine (ISE) y Snort 3, incluyendo CVE-2026-20029, para el cual ya existe una prueba de concepto pública. Hasta el momento, no se ha reportado la explotación de esta vulnerabilidad.
La compañía ha emitido parches para resolver una vulnerabilidad de gravedad media en ISE y el conector pasivo de identidad ISE-PIC, que cuenta con un exploit de prueba pública.
La vulnerabilidad, designada como CVE-2026-20029 (CVSS: 4.9), reside en la función de licencias y podría permitir a un atacante remoto autenticado con privilegios administrativos acceder a información sensible.
«La causa de esta vulnerabilidad es un análisis incorrecto del XML procesado por la interfaz de administración web de Cisco ISE y Cisco ISE-PIC», indicó Cisco en un aviso emitido el miércoles. «Un atacante podría aprovechar esta vulnerabilidad enviando un archivo malicioso a la aplicación».
La explotación exitosa permitiría a un atacante con credenciales administrativas válidas leer archivos arbitrarios en el sistema operativo subyacente, algo que debería estar prohibido incluso para los administradores.
Bobby Gould, de Trend Micro Zero Day Initiative, ha sido el responsable del descubrimiento y notificación de la vulnerabilidad, que afecta a las versiones anteriores a 3.5.
- Cisco ISE o ISE-PIC versiones anteriores a 3.2 – migrar a una versión corregida
- Cisco ISE o ISE-PIC versión 3.2 – 3.2 Patch 8
- Cisco ISE o ISE-PIC versión 3.3 – 3.3 Patch 8
- Cisco ISE o ISE-PIC versión 3.4 – 3.4 Patch 4
- Cisco ISE o ISE-PIC versión 3.5 – no es vulnerable
Cisco aseguró que no hay soluciones alternativas para mitigar la vulnerabilidad y reconoció la existencia de una prueba pública de explotación. Aunque no hay evidencia de que se haya explotado activamente, la disponibilidad de una PoC facilita su explotación y por ello, las organizaciones deben priorizar una solución.
También, Cisco ha publicado correcciones para otros dos errores de gravedad media relacionados con el protocolo DCE/RPC. Estas vulnerabilidades podrían permitir a un atacante remoto no autenticado filtrar información confidencial o reiniciar el motor de detección Snort 3, afectando su disponibilidad.
El investigador de Trend Micro, Guy Lederfein, ha confirmado que notificó sobre estas fallas. Los detalles son los siguientes:
- CVE-2026-20026 (CVSS: 5.8): vulnerabilidad de denegación de servicio DCE/RPC en Snort 3
- CVE-2026-20027 (CVSS: 5.3): vulnerabilidad de divulgación de información DCE/RPC en Snort 3
Afectan a varios productos de Cisco:
- Software Cisco Secure Firewall Threat Defense (FTD), si se configuró Snort 3
- Software Cisco IOS XE
- Software Cisco Meraki
Dado que las vulnerabilidades en productos Cisco son frecuentemente atacadas por ciberdelincuentes, es crucial que los usuarios actualicen a la última versión para garantizar la protección adecuada.
Fuente: THN
Con Información de blog.segu-info.com.ar