Vulnerabilidad crítica en Cisco ISE e ISE-PIC
El 28 de abril del presente año, Cisco publicó versiones corregidas para remediar una vulnerabilidad crítica en sus productos Cisco Identity Services Engine (ISE) y Cisco ISE Passive Identity Connector (ISE-PIC). Asimismo, compartió detalles de una vulnerabilidad de severidad media presente en los mismos productos. Hasta el momento, no se ha observado la explotación activa de ninguna de estas vulnerabilidades.
CVE-2026-20147
Con una puntuación CVSS de 9.9, la vulnerabilidad identificada como CVE-2026-20147 podría permitir que un atacante con credenciales validas ejecute remotamente comandos arbitrarios en el sistema operativo. Esta falla se origina debido a una validación deficiente en la información proporcionada por el usuario, lo que posibilita el envío de solicitudes HTTP manipuladas para elevar sus privilegios a nivel root.
En implementaciones tipo single-node, esta vulnerabilidad puede derivar en una condición de denegación de servicio (DoS). Como consecuencia, los endpoints que no hayan sido autenticados previamente no podrían acceder a la red.
CVE-2026-20148
De ser explotada correctamente, la vulnerabilidad de severidad media registrada como CVE-2026-20148 podría permitir que un atacante remoto autenticado ejecute ataques de tipo path traversal con el fin de obtener acceso a archivos y directorios que se encuentran almacenados fuera de la web.
De igual forma, esta vulnerabilidad ocurre debido a una validación inadecuada de la información ingresada por los usuarios, facilitando que un atacante envíe una solicitud HTTP al sistema afectado y acceda a archivos confidenciales.
Actualmente, no hay medidas de mitigación temporales disponibles por lo que se recomienda aplicar las actualizaciones correspondientes cuanto antes.
Versiones Afectadas
| Productos | Versiones afectadas | Versiones corregidas |
| Cisco ISE y ISE-PIC | Versiones anteriores a versión 3.1 | Migrar a version corregida. |
| Versión 3.1 | Versión 3.1 Patch 11 | |
| Versión 3.2 | Versión 3.2 Patch 10 | |
| Versión 3.3 | Versión 3.3 Patch 11 | |
| Versión 3.4 | Versión 3.4 Patch 6 | |
| Versión 3.51 | Versión 3.5 Patch 3 |
Recomendaciones
- Actualizar inmediatamente los productos afectados.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto (NIST CSF, 2024).
- Revisar logs para de ejecución de software de acceso remoto (NIST CSF, 2024).
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad (NIST CSF, 2024).
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque (NIST CSF, 2024).
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactorial.
Referencias
- Cisco (2026, 15 abril). Cisco Identity Services Engine Remote Code Execution and Path Traversal Vulnerabilities. Recuperado el 30 de abril de 2026, en: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-rce-traversal-8bYndVrZ
- CVE (2026, 15 abril). Cisco Identity Services Engine Remote Code Execution Vulnerability. Recuperado el 30 de abril de 2026, en: https://www.cve.org/CVERecord?id=CVE-2026-20147
