Vulnerabilidades en productos de Cisco 2025
Vulnerabilidad crítica - 09/05
Introducción
La vulnerabilidad CVE-2025-20188 es una falla crítica en el software Cisco IOS XE para Wireless LAN Controllers (WLCs) que permite a atacantes remotos no autenticados subir archivos arbitrarios a través de solicitudes HTTPS manipuladas.
Análisis
CVE-2025-20188 - CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H - 10.0
Esta vulnerabilidad se debe a la presencia de un JSON Web Token (JWT) codificado de forma fija en el sistema afectado. Si se explota con éxito, un atacante podría realizar cargas de archivos, recorridos de directorios y ejecutar comandos arbitrarios con privilegios de root. Para que la explotación sea exitosa, la función de descarga de imágenes de puntos de acceso fuera de banda (Out-of-Band AP Image Download) debe estar habilitada en el dispositivo, aunque esta función está deshabilitada por defecto.
Versiones afectadas
Los siguientes productos de Cisco están afectados:
- Catalyst 9800-CL Wireless Controllers para Cloud
- Catalyst 9800 Embedded Wireless Controller para los switches Catalyst 9300, 9400 y 9500 Series
- Catalyst 9800 Series Wireless Controllers
- Embedded Wireless Controller en puntos de acceso Catalyst
Recomendaciones
Se recomienda aplicar las actualizaciones de software proporcionadas por Cisco para corregir esta vulnerabilidad.
Workarounds
No hay workarounds disponibles para esta vulnerabilidad.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-20188
- https://thehackernews.com/2025/05/cisco-patches-cve-2025-20188-100-cvss.html
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wlc-file-uplpd-rHZG9UfC
Vulnerabilidad crítica - 27/06
Introducción
Las vulnerabilidades CVE‑2025‑20281 y CVE‑2025‑20282 afectan a Cisco Identity Services Engine (ISE) y al componente ISE‑PIC. Ambas permiten ejecución de código remoto sin autenticación, obteniendo privilegios root a través de APIs expuestas.
Análisis
CVE‑2025‑20281 – CVSS 3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/ - 9.8
Esta vulnerabilidad, causada por insuficiente validación de entrada en una API específica, permite que un atacante no autenticado envíe peticiones malformadas para ejecutar código arbitrario como root en el sistema subyacente.
CVE‑2025‑20282 – CVSS 3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/ - 10
Debido a la falta de verificación de archivos subidos en una API interna, permite que un atacante no autenticado cargue ficheros en directorios privilegiados y luego los ejecute como root.
Versiones afectadas
Cisco ISE y ISE‑PIC:
- Todas las versiones 3.3
- Todas las versiones 3.4
Recomendaciones
Actualizar inmediatamente a:
- Versión 3.3 con Patch 6
- Versión 3.4 con Patch 2
Seguir procedimientos internos de parcheo y pruebas previas a producción.
Después de la actualización, reiniciar servicios de ISE/ISE‑PIC para asegurar que no se mantengan procesos maliciosos.
Workarounds
No hay workarounds disponibles para esta vulnerabilidad.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-20281
- https://nvd.nist.gov/vuln/detail/CVE-2025-20282
- https://thehackernews.com/2025/06/critical-rce-flaws-in-cisco-ise-and-ise.html
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6
Vulnerabilidad crítica - 03/07
Introducción
CVE-2025-20309 afecta a ciertas versiones del software Cisco Unified Communications Manager (Unified CM) y su edición Session Management Edition (SME).
Análisis
CVE-2025-20309 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - 10
Reside en la presencia de una cuenta con privilegios de root, incorporada para pruebas internas en ciertas versiones del producto, cuyas credenciales están codificadas y no pueden ser modificadas ni eliminadas por los administradores del sistema. Esta cuenta puede ser utilizada para acceder al sistema mediante SSH, sin requerir autenticación previa.
Versiones afectadas
Versiones Engineering Special (ES) de Cisco Unified CM y SME, específicamente desde la 15.0.1.13010‑1 hasta la 15.0.1.13017‑1. Las versiones estándar no se ven afectadas, salvo que se haya instalado alguno de estos paquetes ES vulnerables.
Recomendaciones
Cisco ha lanzado una actualización correctiva en la versión 15SU3 y también ha puesto a disposición un parche independiente identificado como CSCwp27755_D0247‑1.cop.sha512, que elimina la cuenta de prueba y restablece la configuración segura del sistema.
Workarounds
No hay workarounds disponibles para esta vulnerabilidad.
Referencias
- https://thehackernews.com/2025/07/critical-cisco-vulnerability-in-unified.html
- https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2025-20309
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssh-m4UBdpE7
Vulnerabilidad crítica - 17/07
Introducción
CVE-2025-20337 es una vulnerabilidad de tipo Remote Code Execution (RCE) sin autenticación. El fallo se encuentra en una API expuesta por el sistema operativo subyacente del ISE (basado en Linux).
Esta API no valida adecuadamente los datos que recibe del cliente (usuario externo), lo que permite inyectar comandos arbitrarios en el sistema.
Análisis
CVE-2025-20337 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H- 10
El problema radica en la mala validación de entradas dentro de una interfaz de programación de aplicaciones (API) expuesta por Cisco ISE. Esta API, diseñada para operaciones administrativas, no sanitiza correctamente los datos que recibe, permitiendo la inyección de comandos del sistema operativo. Esto ocurre en las versiones afectadas (ISE 3.3 y 3.4), donde ciertas peticiones HTTP maliciosas pueden provocar que el backend de ISE ejecute código directamente como root.
Versiones afectadas
- Cisco ISE o ISE-PIC versión 3.3 (corregido en el parche 7 de la versión 3.3)
- Cisco ISE o ISE-PIC versión 3.4 (corregido en el parche 2 de la versión 3.4)
Recomendaciones
Mantener los sistemas actualizados para evitar posibles amenazas.
Workarounds
No hay workarounds para esta vulnerabilidad.