Cisco ha publicado el pasado miércoles 15 de abril varias actualizaciones de seguridad para corregir un conjunto de vulnerabilidades críticas en Cisco Identity Services Engine (ISE), calificadas con una puntuación CVSS de 9.9. Los fallos podrían permitir a un atacante remoto autenticado ejecutar comandos arbitrarios en el sistema operativo subyacente y elevar privilegios hasta root.
Cisco ha reportado recientemente dos avisos de seguridad críticos que afectan a su catálogo de productos Cisco Identity Services Engine (ISE). El primero, Cisco Identity Services Engine Remote Code Execution and Path Traversal Vulnerabilities, agrupa las vulnerabilidades CVE-2026-20147 y CVE-2026–20148. El segundo, Cisco Identity Services Engine Remote Code Execution Vulnerabilities, incluye CVE-2026-20180 y CVE-2026-20186. Ambos avisos fueron publicados el 15 de abril de 2026 y están clasificados como Critical por Cisco.
La vulnerabilidad más grave del primer aviso es CVE-2026-20147, que afecta a Cisco ISE y Cisco ISE Passive Identity Connector (ISE-PIC). Cisco indica que se debe a una validación insuficiente de la entrada proporcionada por el usuario en peticiones HTTP. Un atacante remoto autenticado con credenciales administrativas válidas podría explotar este fallo enviando una solicitud especialmente diseñada para ejecutar comandos arbitrarios en el sistema operativo subyacente, obtener acceso a nivel de usuario y, posteriormente, elevar privilegios hasta conseguir root. En despliegues de nodo único, la explotación también podría provocar una condición de denegación de servicio (DoS) que impediría nuevas autenticaciones hasta restaurar el nodo.
En ese mismo aviso, CVE-2026–20148 permite a un atacante remoto autenticado realizar ataques de path traversal y leer ficheros arbitrarios del sistema operativo subyacente mediante peticiones HTTP manipuladas. Esta vulnerabilidad requiere igualmente credenciales administrativas válidas.
El segundo aviso afecta exclusivamente a Cisco ISE y reúne las vulnerabilidades CVE-2026-20180 y CVE-2026-20186. Cisco explica que ambas también están causadas por una validación insuficiente de la entrada proporcionada por el usuario y que pueden ser explotadas por un atacante remoto autenticado con, al menos, permisos de Read Only Admin. Una explotación exitosa permitiría ejecutar comandos arbitrarios en el sistema operativo del dispositivo afectado, obtener acceso a nivel de usuario y elevar privilegios hasta conseguir root. En entornos de nodo único, estos fallos también podrían dejar el nodo no disponible y provocar una interrupción del acceso a la red para equipos que todavía no se hubiesen autenticado. Cisco asigna a este segundo grupo una puntuación CVSS base 9.9.
Productos Afectados
La empresa Cisco ha publicado recientemente un aviso de seguridad sobre sus productos afectados
| Producto afectado – Vulnerabilidad | Riesgo | CVE |
|---|---|---|
| Cisco ISE e ISE-PIC Ejecución remota de comandos mediante peticiones HTTP especialmente diseñadas, con posible escalada a root y DoS en despliegues de nodo único | Crítica, CVSS 9.9 | CVE-2026-20147 |
| Cisco ISE e ISE-PIC Path traversal que permite leer ficheros arbitrarios del sistema operativo subyacente | Media, CVSS 4.9 | CVE-2026–20148 |
| Cisco ISE Múltiples vulnerabilidades de ejecución remota de comandos con elevación a root; requiere credenciales Read Only Admin o superiores | Crítica, CVSS 9.9 | CVE-2026-20180 |
| Cisco ISE Múltiples vulnerabilidades de ejecución remota de comandos con elevación hasta conseguir ser root. | Crítica, CVSS 9.9 | CVE-2026-20186 |
Solución
Cisco recomienda actualizar y parchear los productos afectados lo antes posible. En el aviso de CVE-2026-20180 y CVE-2026-20186, Cisco indica que no existen soluciones alternativas y que la mitigación pasa por instalar las versiones corregidas. Las primeras versiones fijas publicadas son: Cisco ISE 3.2 Patch 8, Cisco ISE 3.3 Patch 8 y Cisco ISE 3.4 Patch 4; la rama 3.5 no es vulnerable. Cisco también recomienda migrar a una versión corregida en las ramas anteriores a la 3.2.
En paralelo, Cisco señala que los clientes deben seguir las guías de actualización oficiales de Cisco Identity Services Engine y aplicar los parches indicados en cada advisory para evitar futuras exposiciones. Cisco PSIRT afirma además que, en el momento de la publicación, no tenía constancia de explotación maliciosa pública de estas vulnerabilidades.
Más información:
Cisco Security Advisory – Cisco Identity Services Engine Remote Code Execution and Path Traversal Vulnerabilities
Cisco Security Advisory – Cisco Identity Services Engine Remote Code Execution Vulnerabilities
Centro de descargas y soporte de Cisco ISE:
https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-ise-rce-4fverepv.html
Deja una respuesta