CISOs querem menos fornecedores, diz relatório da Cisco

Falha em XML no Cisco ISE permite leitura de arquivos

A Cisco corrigiu uma vulnerabilidade no Identity Services Engine (ISE) e no ISE Passive Identity Connector (ISE-PIC), rastreada como CVE-2026-20029, que permite a administradores autenticados ler arquivos arbitrários no sistema operacional subjacente por meio da interface web de gerenciamento. O problema decorre de um parsing inadequado de XML em funcionalidades de licenciamento, e pode expor dados sensíveis que deveriam permanecer inacessíveis até mesmo para administradores, afetando todas as configurações de dispositivos vulneráveis.

PoC público aumenta urgência da correção

Embora o PSIRT da Cisco não tenha identificado evidências de exploração ativa até o momento, a empresa alertou que já existe código de prova de conceito disponível publicamente para a CVE-2026-20029. A Cisco enfatiza que eventuais mitigações ou workarounds devem ser tratados apenas como medidas temporárias e “fortemente recomenda” a atualização para as versões corrigidas como forma de evitar exposição futura.

Versões afetadas e releases corrigidos

O problema afeta Cisco ISE e ISE-PIC em versões anteriores à série 3.5, com correções específicas por release: para a linha 3.2, o primeiro release corrigido é o 3.2 Patch 8; para 3.3, o 3.3 Patch 8; e para 3.4, o 3.4 Patch 4, enquanto a versão 3.5 não é vulnerável à CVE-2026-20029. Clientes em versões anteriores à 3.2 devem migrar para um release suportado e já corrigido, conforme a matriz de atualizações publicada no advisory oficial da Cisco.

Histórico recente de falhas críticas no Cisco ISE e AsyncOS

A nova correção chega após uma sequência de vulnerabilidades graves em produtos Cisco voltados a acesso e e‑mail corporativo, incluindo a falha máxima CVE-2025-20337 no próprio ISE, explorada como zero‑day para execução de código pré‑autenticação e obtenção de privilégios root. Em novembro, equipes de threat intelligence da AWS relataram campanhas que abusaram dessa falha antes do patch, e, posteriormente, o advisory da Cisco foi atualizado para indicar exploração ativa e a existência de código de exploração público.

Outras vulnerabilidades correlatas em IOS XE e AsyncOS

No mesmo ciclo, a Cisco também publicou correções para múltiplas vulnerabilidades em IOS XE relacionadas ao Snort 3 Detection Engine, que poderiam permitir a atacantes remotos não autenticados causar negação de serviço ou acessar informações sensíveis no fluxo de dados do Snort, ainda sem código de exploração público conhecido. Além disso, a empresa mantém alerta sobre a exploração, por um grupo chinês rastreado como UAT-9686, de uma falha zero‑day de gravidade máxima em Cisco AsyncOS (CVE-2025-20393), ainda sem patch disponível, usada contra appliances Secure Email and Web Manager e Secure Email Gateway, para a qual recomenda restringir o acesso, limitar conexões a hosts confiáveis e posicionar os dispositivos atrás de firewalls até a liberação de atualizações de segurança.