CVE-2026-20029 em Cisco ISE: PoC público exige correção imediata

CVE‑2026‑20029 permite que administradores autenticados no Cisco ISE enviem XML malicioso para ler arquivos arbitrários do sistema. PoC público existe; Cisco publicou patches (3.2 Patch 8, 3.3 Patch 8, 3.4 Patch 4). A recomendação é aplicar correções ou isolar interfaces administrativas imediatamente.

Cisco publicou correções para uma vulnerabilidade crítica em seu Identity Services Engine (ISE) e no ISE Passive Identity Connector (ISE‑PIC) que permite leitura arbitrária de arquivos do sistema quando explorada por administradores autenticados. A prova‑de‑conceito (PoC) está disponível publicamente.

Como funciona a exploração

De acordo com cobertura da Cyber Security News e o advisory da Cisco citado por ela, a falha é resultado de parsing incorreto de XML na interface web de gestão. Um administrador autenticado pode fazer upload de um ficheiro XML malicioso que leva o sistema a ler arquivos arbitrários do sistema operacional subjacente — expondo segredos, configurações e credenciais.

Escopo e versões afetadas

O advisory informa que todas as versões do ISE e ISE‑PIC anteriores às correções estão vulneráveis, independentemente da configuração. Cisco delineou primeiras releases que corrigem o problema:

3.2: 3.2 Patch 8
3.3: 3.3 Patch 8
3.4: 3.4 Patch 4
3.5: não vulnerável

Risco prático

Embora a exploração exija credenciais administrativas — o que limita o vetor inicial — o impacto é alto: permite a exfiltração de ficheiros que deveriam permanecer inacessíveis mesmo a administradores, afetando confidencialidade e possivelmente integridade de ambientes que usam ISE como pilar de controle de acesso e zero‑trust.

Cisco alerta que não existem workarounds e que a PoC pública aumenta a probabilidade de que atores oportunistas criem exploits em ambientes reais.

Recomendações

Aplicar imediatamente as versões corrigidas indicadas pela Cisco; migrar instâncias que não possam ser atualizadas.
Se o patch não puder ser aplicado imediatamente, restringir o acesso administrativo à interface de gestão (network ACLs, VPNs de gestão) e aplicar controles compensatórios de monitoramento e detecção.
Auditar contas administrativas e logs de acesso para identificar atividade anômala, além de verificar integridade de arquivos de configuração e segredos.

Considerações

Fontes citam o pesquisador do Zero Day Initiative (Trend Micro) como autor da descoberta. Cisco PSIRT reportou ausência de ataques conhecidos até a publicação, mas a disponibilização de PoC e a gravidade do bug tornam a aplicação de patches prioridade para operadores que usam ISE em ambientes críticos (financeiro, saúde, infraestruturas).