思科发布更新，修复了身份服务引擎（ISE）中存在的两个严重安全漏洞，CVE-2025-20124和CVE-2025-20125。这些漏洞可能允许远程攻击者在受影响的设备上执行任意命令并提升权限。CVE-2025-20124涉及不安全的Java反序列化，而CVE-2025-20125涉及授权绕过。思科建议用户尽快更新到已修复的版本，包括3.1P10、3.2P7和3.3P4等，以防止潜在的恶意利用。目前未发现漏洞被恶意利用，但及时更新是最佳防护措施。

🚨CVE-2025-20124：思科ISE的API存在不安全的Java反序列化漏洞，经验证的远程攻击者可以利用此漏洞以root权限在受影响的设备上执行任意命令。攻击者通过发送特制的序列化Java对象到未明确指定的API端点来利用此漏洞。

🛡️CVE-2025-20125：思科ISE的API存在授权绕过漏洞，拥有有效只读凭证的远程攻击者可以利用此漏洞获取敏感信息，更改节点配置，并重启节点。攻击者通过发送特制的HTTP请求利用此漏洞。

✅修复版本：思科已发布修复版本，包括3.1P10、3.2P7和3.3P4。版本3.4不存在此漏洞。建议用户尽快更新到这些版本以获得最佳防护，版本3.0需迁移至修复版本。

🧑‍💻漏洞发现者：德勤安全研究人员Dan Marin和Sebastian Radulea因发现并报告这些漏洞而受到赞扬。

思科已发布更新，以修复身份服务引擎（ISE）存在的两个严重安全漏洞。这些漏洞可能使远程攻击者在易受攻击的设备上执行任意命令并提升权限。 以下为相关漏洞： CVE – 2025 – 20124（CVSS 评分：9.9）：思科 ISE 的一个应用程序编程接口（API）存在不安全的 Java 反序列化漏洞，这使得经过身份验证的远程攻击者能够以 root 用户身份在受影响设备上执行任意命令。CVE – 2025 – 20125（CVSS 评分：9.1）：思科 ISE 的一个 API 存在授权绕过漏洞，持有有效只读凭证且经过身份验证的远程攻击者可借此获取敏感信息、更改节点配置并重启节点。 攻击者可通过向某个未明确说明的 API 端点发送精心构造的序列化 Java 对象或 HTTP 请求，利用上述任意一个漏洞，进而实现权限提升与代码执行。 网络安全方面：思科称这两个漏洞相互独立，且没有可缓解漏洞影响的临时解决方案。以下版本已修复这些漏洞： 思科 ISE 软件版本 3.0（需迁移至修复版本）思科 ISE 软件版本 3.1（在 3.1P10 版本中修复）思科 ISE 软件版本 3.2（在 3.2P7 版本中修复）思科 ISE 软件版本 3.3（在 3.3P4 版本中修复）思科 ISE 软件版本 3.4（不存在此漏洞） 德勤安全研究人员丹・马林（Dan Marin）和塞巴斯蒂安・拉杜莱亚（Sebastian Radulea）因发现并报告这些漏洞而获赞誉。 尽管这家网络设备巨头表示尚未察觉到这些漏洞被恶意利用的情况，但仍建议用户及时更新系统，以获得最佳防护。