Cisco publica parches para vulnerabilidades críticas en Cisco ISE [CVE-2026-20181, CVE-2026-20190, RCE]
Cisco ha publicado avisos sobre fallas de seguridad críticas en su producto Identity Services Engine (ISE) y en ISE Passive Identity Connector (ISE-PIC) que pueden permitir ejecución remota de código y divulgación de información sensible. Los fallos identificados como CVE-2026-20181 y CVE-2026-20190, anunciados en el boletín cisco-sa-ise-multi-G5WP8vv (17 de junio de 2026), tienen una gravedad alta (CVSS 9.1) y afectan despliegues de ISE e ISE‑PIC independientemente de la configuración. La vulnerabilidad más grave, CVE-2026-20181, es una ejecución remota de código (RCE) causada por una validación incorrecta de entradas proporcionadas por el usuario. Un atacante autenticado con privilegios administrativos podría enviar solicitudes HTTP especialmente diseñadas para ejecutar comandos arbitrarios en el sistema subyacente. Tras la explotación, un atacante podría elevar privilegios hasta root y tomar control total del equipo; en despliegues de nodo único, también podría provocar denegación de servicio y bloquear la autenticación de nuevos endpoints, interrumpiendo el control de acceso de la red.
La segunda vulnerabilidad, CVE-2026-20190, permite divulgación de información por comprobaciones de autorización insuficientes y, a diferencia de la RCE, puede explotarse sin autenticación. Mediante solicitudes malformadas, un atacante remoto podría acceder a datos sensibles almacenados en el dispositivo, incluyendo credenciales hasheadas, lo que incrementa el riesgo de movimientos laterales dentro de la red.
Cisco confirma que todas las versiones están afectadas en distinta medida y ha publicado correcciones en ISE 3.3 Patch 11 y ISE 3.4 Patch 6, con una corrección planeada para ISE 3.5 Patch 4 en agosto de 2026. No existen soluciones alternativas oficiales, por lo que la mitigación efectiva es actualizar a las versiones parcheadas. Cisco PSIRT indica que no hay evidencia conocida de explotación activa en la naturaleza, pero la facilidad de explotación y la severidad exigen priorizar las actualizaciones. Los descubrimientos fueron reportados por investigadores de TrendAI, STAR Labs y Zero Day Initiative.
Versiones Afectadas
| Producto | Versiones afectadas | Mitigación |
|---|---|---|
| Cisco Identity Services Engine (ISE) | Todas las versiones anteriores a los parches publicados | ISE 3.3 Patch 11 y posteriores; ISE 3.4 Patch 6 y posteriores; ISE 3.5 Patch 4 |
| ISE Passive Identity Connector (ISE-PIC) | Todas las versiones anteriores a los parches publicados | ISE-PIC 3.3 Patch 11 y posteriores; 3.4 Patch 6 y posteriores 3.5 Patch 4 |
Recomendaciones
- Actualizar de inmediato a las versiones parcheadas provistas por Cisco (priorizar ISE 3.3 Patch 11 y ISE 3.4 Patch 6; planificar 3.5 Patch 4).
- Migrar versiones antiguas a lanzamientos soportados si no es posible parchear in situ.
- Restringir el acceso administrativo a redes y direcciones IP de confianza y usar autenticación multifactor.
- Monitorizar logs y tráfico HTTP en busca de solicitudes sospechosas y actividad inusual de autenticación.
- Revisar cuentas con privilegios, rotar credenciales y auditar eventos de escalada de privilegios.
- Preparar un plan de respuesta ante incidentes y respaldos antes de aplicar parches en entornos críticos.
CVEs
Referencias
https://cybersecuritynews.com/cisco-ise-rec-vulnerability/
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-multi-G5WP8vv
https://nvd.nist.gov/vuln/detail/CVE-2026-20181
