Cisco выпустила предупреждение об уязвимости обхода каталогов в продуктах Identity Services Engine (ISE) и ISE Passive Identity Connector (ISE-PIC). Проблеме присвоен идентификатор CVE-2026-20146, базовый балл CVSS 5,5. Злоумышленник с аутентификацией уровня администратора потенциально может прочитать или удалить произвольные файлы на операционной системе затронутого устройства. Обновления безопасности появятся в сентябре 2026 года, временных обходных мер защиты не существует.
Уязвимость CVE-2026-20146
Причина уязвимости - недостаточная проверка пользовательского ввода при обработке HTTP-запросов. Атакующий, обладающий действующей учётной записью администратора, может отправить специально сформированный запрос на уязвимую систему. В случае успешной эксплуатации он получает доступ к конфиденциальным данным либо возможность удалить системные файлы. Это может привести к раскрытию паролей конфигурации, сертификатов или нарушению работоспособности служб.
Проблема затрагивает все версии Cisco ISE и ISE-PIC на момент публикации бюллетеня, независимо от конфигурации устройств. Для более ранних веток, чем 3.3, единственный выход - миграция на поддерживаемый релиз. Для версии 3.3 исправление войдёт в состав патча 12, для 3.4 - в патч 7, для 3.5 - в патч 4. Отдельно отмечается, что ISE-PIC достиг статуса окончания продаж, и версия 3.4 является последней поддерживаемой.
Cisco PSIRT (группа реагирования на инциденты безопасности продукта) сообщает, что на момент публикации не располагает сведениями о публичном раскрытии или злонамеренном использовании данной уязвимости. Исследователь Jonathan Lein из TrendAI Research получил благодарность от производителя за обнаружение проблемы.
Организациям, использующим Cisco ISE для управления сетевым доступом (NAC) и аутентификацией, рекомендуется запланировать обновление сразу после выхода исправления. Поскольку временные меры защиты отсутствуют, администраторам следует как можно скорее перейти на фиксированные релизы. Ветки 3.3 Patch 12, 3.4 Patch 7 и 3.5 Patch 4 станут доступны в сентябре 2026 года, однако Cisco допускает возможность установки "горячего патча" для 3.4 и 3.5 до выхода полного набора обновлений.
Уязвимость обхода каталогов в продуктах класса Identity Services Engine не является уникальной: подобные дефекты регулярно обнаруживаются в системах управления сетевой инфраструктурой. Требование аутентификации администратора снижает вероятность массовой эксплуатации, но не устраняет риск для скомпрометированных учётных записей. При получении административного доступа злоумышленник способен не только прочитать произвольные файлы, но и удалить критически важные компоненты, что может вызвать отказ в обслуживании или потерю данных.
Cisco рекомендует всем клиентам отслеживать обновления на странице поддержки Cisco Identity Services Engine и использовать руководства по обновлению для каждой платформы. На данный момент было выпущено только предупреждение, а не обновление; это означает, что в течение нескольких месяцев системы остаются уязвимыми. В качестве дополнительной меры следует пересмотреть политики управления привилегированными учётными записями, чтобы снизить вероятность использования учётных данных администратора.
Обнаружение этой уязвимости в рамках исследования TrendAI подчёркивает продолжающийся тренд: продукты контроля сетевого доступа всё чаще становятся мишенью исследователей, поскольку предоставляют широкие возможности для бокового перемещения внутри корпоративной сети. Даже уязвимость средней степени опасности при наличии учётных данных администратора может привести к серьёзным последствиям.
Ссылки