شرکت سیسکو اخیراً دو آسیب‌پذیری حیاتی با شناسه‌های CVE-2025-20124 (امتیاز CVSS برابر با 9.9) و CVE-2025-20125 (امتیاز CVSS برابر با 9.1) را در محصول Cisco Identity Services Engine (ISE) وصله کرده است. این نقص‌ها به مهاجمان احراز هویت‌شده با سطح دسترسی «Read-Only Admin» امکان می‌دهد تا دستورهای دلخواه را در دستگاه‌های آسیب‌پذیر اجرا کرده و در برخی موارد پیکربندی و تنظیمات سیستم را تغییر دهند.

آسیب‌پذیری CVE-2025-20124 به دلیل عدم ایمن‌سازی فرایند «Java Deserialization» در رابط برنامه‌نویسی (API) سیسکو ISE پدیدار شده است. در این سناریو، یک مهاجم راه دور که دسترسی احراز هویت‌شده دارد، می‌تواند با ارسال یک آبجکت جاوای دستکاری‌شده به API مربوطه، فرمان‌های دلخواه خود را به‌عنوان کاربر روت (root) اجرا کرده و به مجوزهای سطح بالا دست یابد. از آنجا که سرویس ISE این اطلاعات را بدون بررسی کامل امنیتی پردازش می‌کند، مهاجم می‌تواند به‌راحتی از این ضعف برای نفوذ گسترده بهره‌برداری کند.

مشکل دوم، یعنی CVE-2025-20125، مربوط به دور زدن مجوزدهی (Authorization Bypass) در یکی از APIهای سیسکو ISE است. در این سناریو نیز مهاجم دارای گواهی‌نامه‌های معتبر سطح Read-Only می‌تواند از طریق ارسال درخواست‌های HTTP دستکاری‌شده به API هدف، به اطلاعات حساس دسترسی پیدا کند، تنظیمات نود را تغییر دهد یا حتی کل دستگاه را راه‌اندازی مجدد (Reload) کند. این وضعیت به‌خصوص در محیط‌های تک‌نود بحرانی‌تر می‌شود؛ زیرا طی زمان راه‌اندازی مجدد، ممکن است دستگاه‌های جدید قادر به احراز هویت نباشند.

سیسکو اعلام کرده است که هیچ راهکار موقتی (Workaround) برای این دو آسیب‌پذیری وجود ندارد و کاربران باید در اسرع وقت به نسخه‌های اصلاح‌شده مهاجرت کنند. بر اساس راهنمایی رسمی سیسکو، نسخه‌های 3.1P10، 3.2P7 و 3.3P4 و نسخه 3.4 (که مستعد این آسیب‌پذیری نیست) حاوی وصله‌های لازم هستند. محققان امنیتی از Deloitte، به‌ویژه Dan Marin و Sebastian Radulea، مسئول کشف و گزارش این آسیب‌پذیری‌ها بوده‌اند و طبق اعلام شرکت سیسکو، تاکنون شواهدی از بهره‌برداری فعال این حفره‌ها در فضای عمومی گزارش نشده است.

با توجه به شدت بالا و امتیاز CVSS این آسیب‌پذیری‌ها، توصیه می‌شود مدیران شبکه و مسئولان امنیتی بلافاصله راه‌حل ارائه‌شده را اعمال کرده و پس از ارتقا، سیاست‌های نظارت بر دسترسی و اعتبارسنجی کاربران را نیز تقویت کنند. همچنین نظارت مستمر بر رخدادهای غیرعادی و اعمال کنترل‌های چندلایه‌ در سطح زیرساخت، برای پیشگیری از سوءاستفاده‌های احتمالی ضروری به‌نظر می‌رسد.