Cisco បានចេញផ្សាយព្រឹត្តិបត្រព្រមានអំពីភាពងាយរងគ្រោះ ដែលប្រតិបត្តិការកូដពីចម្ងាយដោយមិនមានការផ្ទៀងផ្ទាត់ (RCE) សំខាន់ចំនួន២ ដែលប៉ះពាល់ដល់ Cisco Identity Services Engine (ISE) និង Passive Identity Connector (ISE-PIC)។
បញ្ហាចំនួន២ ដែលមានឈ្មោះថា CVE-2025-20281 និង CVE-2025-20282 ត្រូវបានផ្តល់ពិន្ទុកម្រិតខ្ពស់ (CVSS score: 10.0)។ ដំបូងប៉ះពាល់ដល់ ISE និង ISE-PIC versions 3.4 និង 3.3 ខណៈផលប៉ះពាល់ទីពីរដល់ជំនាន់ 3.4។ ប្រភពបញ្ហានៃ CVE-2025-20281 គឺជាសុពលភាពមិនគ្រប់គ្រាន់នៃការបញ្ចូលរបស់អ្នកប្រើប្រាស់នៅក្នុង API ដែលត្រូវបានលាតត្រដាងជាក់លាក់។ រឿងនេះអនុញ្ញាតឱ្យហេគឃ័រអាចបញ្ជាពីចម្ងាយដោយមិនត្រូវការការផ្ទៀងផ្ទាត់ ដើម្បីផ្ញើសំណើ Crafted API ទៅប្រតិបត្តិពាក្យបញ្ជាប្រព័ន្ធប្រតិបត្តិការតាមចិត្តក្នុងនាមជាអ្នកប្រើប្រាស់ Root User។
បញ្ហាទី២គឺ CVE-2025-20282 បណ្តាលមកពីភាពទន់ខ្សោយនៃសុពលភាពឯកសារនៅក្នុង API ផ្ទៃក្នុង ដែលអនុញ្ញាតឱ្យឯកសារត្រូវបានសរសេរទៅកាន់ Directories ដែលមានសិទ្ធិ។ បញ្ហានេះអនុញ្ញាតឱ្យហេគឃ័រអាចបញ្ជាបានពីចម្ងាយដោយគ្មានការផ្ទៀងផ្ទាត់ដើម្បី Upload ឯកសារតាមចិត្តទៅកាន់ប្រព័ន្ធគោលដៅ និងប្រតិបត្តិការពួកវាជាមួយនិងសិទ្ធិពិសេស។
Cisco Identity Services Engine (ISE) គឺជាការគ្រប់គ្រងគោលការណ៍សុវត្ថិភាពណិតវើកមួយ រួមទាំងដំណើរការគ្រប់គ្រង Platform ដែលប្រើដោយស្ថាប័ននានា ដើម្បីគ្រប់គ្រងលើការទំនាក់ទំនងណិតវើករបស់ពួកគេ ដោយបម្រើការត្រួតពិនិត្យដំណើរការណិតវើក (NAC) គ្រប់គ្រងអត្តសញ្ញាណ និង Tool សម្រាប់អនុវត្តគោលការណ៍។ ផលិតផលត្រូវបានប្រើដោយសហគ្រាសធំៗ ស្ថាប័នរដ្ឋាភិបាល សកលវិទ្យាល័យ និងក្រុមហ៊ុនផ្តល់សេវាជាច្រើនទៀត ដែលឈរនៅទីតាំងនៃបណ្តាញសហគ្រាសកណ្តាល។ បញ្ហាទាំងពីរបានប៉ះពាល់ដល់ការគ្រប់គ្រងទាំងស្រុង និងត្រួតត្រាការបញ្ជាពីចម្ងាយពេញលេញលើឧបករណ៍គោលដៅដោយគ្មានការផ្ទៀងផ្ទាត់ ឬអន្តរាគមន៍ពីអ្នកប្រើប្រាស់ទេ។
Cisco បានកត់សម្គាល់នៅក្នុងព្រឹត្តិបត្រថា វាមិនដឹងពីករណីនៃការកេងចំណេញលើបញ្ហាទាំងពីរនេះទេ ប៉ុន្តែការដំឡើងបច្ចុប្បន្នភាពថ្មីគួរតែជាអាទិភាព។ អ្នកប្រើប្រាស់ត្រូវបានណែនាំឱ្យ Upgrade ទៅកាន់ 3.3 Patch 6 (ise-apply-CSCwo99449_3.3.0.430_patch4) និង 3.4 Patch 2 (ise-apply-CSCwo99449_3.4.0.608_patch1) ឬជំនាន់ក្រោយ)។ គ្មានដំណោះស្រាយណាមួយត្រូវបានផ្តល់ជូន ដើម្បីកាត់បន្ថយបញ្ហានោះទេ ដូច្នេះការអនុវត្តបច្ចុប្បន្នភាពសុវត្ថិភាពគឺជាដំណោះស្រាយដែលបានណែនាំ។
Cisco ក៏បានដាក់ចេញនូវព្រឹត្តិបត្រដាច់ដោយឡែកដែលចាត់ទុកថាជាកំហុសឆ្លងកាត់ការផ្ទៀងផ្ទាត់ CVE-2025-20264 ដែលប៉ះពាល់ដល់ ISE។ បញ្ហានេះបណ្តាលមកពីការអនុវត្តមិនគ្រប់គ្រាន់នៃការអនុញ្ញាតសម្រាប់អ្នកប្រើប្រាស់ដែលបង្កើតតាមរយៈការរួមបញ្ចូល SAML SSO ជាមួយនឹងក្រុមហ៊ុនផ្តល់អត្តសញ្ញាណខាងក្រៅ។ ហេគឃ័រដែលមានអត្តសញ្ញាណផ្ទៀងផ្ទាត់ SSO មានសុពលភាពអាចផ្ញើលំដាប់ជាក់លាក់នៃពាក្យបញ្ជា ដើម្បីកែសម្រួលប្រព័ន្ធ Setting ឬដំណើរការ Restart ប្រព័ន្ធ។ បញ្ហា CVE-2025-20264 បានប៉ះពាល់ដល់គ្រប់ជំនាន់នៃ ISE ទៅដល់ 3.4 branch។ ដំណោះស្រាយត្រូវបានធ្វើឡើងនៅក្នុងជំនាន់ 3.4 Patch 2 និង 3.3 Patch 5។ អ្នកផ្គត់ផ្គង់បានសន្យាថានឹងជួសជុលបញ្ហានេះសម្រាប់ជំនាន់ 3.2 ជាមួយនឹងការបញ្ចេញជំនាន់ 3.2 Patch 8 ដែលគ្រោងនឹងធ្វើឡើងនៅខែវិច្ឆិកា ឆ្នាំ២០២៥។ ជំនាន់ ISE 3.1 និងជំនាន់មុននេះក៏រងផលប៉ះពាល់ដែរ ប៉ុន្តែមិនត្រូវបានប្រើប្រាស់ទៀតទេ ជាងនេះទៀត អ្នកប្រើប្រាស់ត្រូវបានណែនាំឱ្យកាត់បន្ថយហានិភ័យដោយការប្រើជំនាន់ថ្មី (Newer Branch)។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៦ ខែមិថុនា ឆ្នាំ២០២៥
