TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 に関する「個人」の調査・研究のログ

トップ > アプリ: Cisco ISE > CVE-2025-20281: Cisco ISE API Unauthenticated Remote Code Execution Vulnerability

CVE-2025-20281: Cisco ISE API Unauthenticated Remote Code Execution Vulnerability

アプリ: Cisco ISE セキュリティ企業: Cisco / シスコ

【訳】

CVE-2025-20281: Cisco ISE API の認証不要リモートコード実行の脆弱性


【図表】


出典: https://www.zerodayinitiative.com/blog/2025/7/24/cve-2025-20281-cisco-ise-api-unauthenticated-remote-code-execution-vulnerability


【要約】

Cisco ISE の脆弱性 CVE-2025-20281 は、認証不要でリモートからルート権限のコード実行を可能にする深刻な欠陥です。攻撃者は Java の安全でないデシリアライズとコマンドインジェクションを悪用し、${IFS}を使って exec() の制限を回避。初期ペイロードは Docker コンテナ内で実行されますが、コンテナが特権モードであったため、cgroup の release_agent 機能を用いてホスト上で root シェルの取得にも成功しました。Cisco はこの脆弱性を複数のパッチ(CVE-2025-20281, CVE-2025-20337)で修正済みですが、エクスプロイトの詳細が公開されており、直ちにアップデートが推奨されます。


【ブログ】

◆CVE-2025-20281: Cisco ISE API Unauthenticated Remote Code Execution Vulnerability (Trendmicro, 2025/07/25)
[CVE-2025-20281: Cisco ISE API の認証不要リモートコード実行の脆弱性]
https://www.zerodayinitiative.com/blog/2025/7/24/cve-2025-20281-cisco-ise-api-unauthenticated-remote-code-execution-vulnerability

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023