A Cisco publicou em 17 de junho de 2026 um advisory sobre múltiplas vulnerabilidades no Cisco Identity Services Engine (ISE) e no Cisco ISE Passive Identity Connector (ISE-PIC). Segundo a fabricante, as falhas podem permitir execução remota de código ou divulgação de informações sensíveis, dependendo do cenário e da versão em uso. Para equipes de segurança e infraestrutura, o ponto central não é apenas a gravidade técnica, mas também o impacto direto que o ISE pode ter no controle de acesso à rede.
O advisory deixa claro que as vulnerabilidades não dependem uma da outra. Portanto, explorar uma delas não é pré-requisito para explorar a outra. Além disso, uma mesma versão pode estar exposta a uma falha e não à outra. Essa distinção é importante porque muda a priorização de resposta, o escopo da análise e a urgência de atualização em cada ambiente.
O que a Cisco corrigiu
A falha mais severa é a CVE-2026-20181, classificada pela Cisco com SIR Critical e CVSS 9.1. Nesse caso, um atacante remoto autenticado pode executar comandos arbitrários no sistema operacional subjacente do equipamento afetado. Para isso, ele precisa ter credenciais administrativas válidas. De acordo com a Cisco, o problema decorre de validação insuficiente de entrada fornecida pelo usuário, e a exploração pode ocorrer por meio de uma requisição HTTP especialmente construída.
O impacto vai além da simples execução de comandos. Segundo o advisory, o atacante pode obter acesso de usuário ao sistema operacional e depois elevar privilégios até root. Em implantações com nó único, a exploração bem-sucedida também pode tornar o nó indisponível. Nesse cenário, endpoints que ainda não tenham se autenticado podem ficar sem acesso à rede até a restauração do serviço. Em outras palavras, o risco combina comprometimento do servidor com possível interrupção operacional.
A segunda falha é a CVE-2026-20190, com SIR High e CVSS 7.5. Aqui, o cenário muda: a Cisco informa que um atacante remoto não autenticado pode visualizar informações sensíveis em um dispositivo afetado. A causa está em verificações inadequadas de autorização no acesso a um recurso. Se explorada com sucesso, essa vulnerabilidade pode expor dados sensíveis, incluindo credenciais com hash que, segundo a Cisco, podem ser usadas em ataques futuros.
Por que esse advisory merece atenção
O ISE ocupa uma posição crítica em muitas redes corporativas porque participa diretamente de políticas de autenticação, autorização e controle de acesso. Por isso, qualquer falha nesse componente merece leitura cuidadosa. No caso da CVE-2026-20181, o requisito de credenciais administrativas reduz a superfície em comparação com uma falha totalmente sem autenticação. Ainda assim, o impacto potencial continua alto, já que a exploração pode levar a execução de comandos, elevação para root e até indisponibilidade do nó.
Já a CVE-2026-20190 chama atenção por não exigir autenticação prévia. Embora o advisory não descreva exploração ativa, a possibilidade de acesso remoto a informações sensíveis em um sistema central para a política de acesso da rede eleva o risco prático. Além disso, a referência a hashes de credenciais reforça a necessidade de tratar a falha como um problema de exposição que pode abrir caminho para etapas posteriores de ataque.
Outro ponto relevante é que a Cisco afirma que não há workarounds para essas vulnerabilidades. Portanto, a mitigação efetiva depende de atualização de software ou, em um caso específico, da obtenção de hot patch junto ao TAC. Esse detalhe encurta o espaço para medidas compensatórias tradicionais e coloca mais pressão sobre inventário, validação de versão e planejamento de mudança.
Versões afetadas e correções disponíveis
O advisory informa que releases anteriores à 3.3 são afetados pela CVE-2026-20181 e devem migrar para uma versão corrigida. Na linha 3.3, a primeira correção para essa falha está no 3.3 Patch 11. Na linha 3.4, a correção aparece no 3.4 Patch 6.
Para ambientes em 3.5, a situação exige mais atenção. A Cisco informa que a primeira versão corrigida para a CVE-2026-20181 será o 3.5 Patch 4 (Aug 2026). Ao mesmo tempo, a fabricante diz que há um hot patch disponível mediante solicitação ao Cisco TAC. Já a CVE-2026-20190 tem correção no 3.4 Patch 6 e no 3.5 Patch 3. O advisory também informa que versões anteriores à 3.4 não são vulneráveis a essa segunda falha.
Há ainda um recorte importante para o ISE-PIC: a Cisco afirma que o produto chegou ao fim de venda, e a release 3.4 é a última suportada. Assim, ambientes que ainda dependem do ISE-PIC precisam considerar esse limite de suporte ao planejar a remediação.
O que fazer agora
Ocaminho mais seguro é confirmar imediatamente a versão em uso, mapear se o ambiente roda ISE ou ISE-PIC e verificar a exposição a cada CVE separadamente. Depois disso, a prioridade deve ser aplicar a release corrigida indicada no advisory. Para quem está em 3.5 e precisa tratar a CVE-2026-20181 antes de agosto de 2026, o próprio documento orienta o contato com o TAC para obtenção do hot patch.
A Cisco também afirma que, até a publicação inicial do advisory em 17 de junho de 2026, o PSIRT não tinha conhecimento de anúncios públicos nem de uso malicioso dessas vulnerabilidades. Ainda assim, isso não reduz a necessidade de ação rápida. Em ambientes onde o ISE sustenta autenticação e acesso à rede, atrasar a correção significa aceitar um risco que já está documentado pela fabricante e para o qual não existe contorno temporário.
About The Author
