HackerNews 编译,转载请注明出处:
思科近日发布安全公告,警告其身份服务引擎(ISE)及被动身份连接器(ISE-PIC)存在两个未认证的远程代码执行(RCE)漏洞(编号CVE-2025-20281与CVE-2025-20282),均被评定为最高危级(CVSS评分:10.0)。其中CVE-2025-20281影响ISE与ISE-PIC的3.3和3.4版本,而CVE-2025-20282仅影响3.4版本。
漏洞原理与影响
- CVE-2025-20281:特定API对用户输入验证不足,未认证攻击者可构造恶意API请求,以root权限执行任意操作系统命令。CVE-2025-20282:内部API文件校验机制缺陷,攻击者可向特权目录上传任意文件并以root权限执行。
思科ISE作为企业级网络访问控制与策略执行平台,广泛应用于政府、高校及大型企业网络核心层。成功利用上述漏洞可实现设备完全接管,无需用户交互或认证凭证。目前尚无活跃攻击迹象,但强烈建议优先修复。
修复方案
- 升级至3.3 Patch 6(补丁号:ise-apply-CSCwo99449_3.3.0.430_patch4)或更高版本升级至3.4 Patch 2(补丁号:ise-apply-CSCwo99449_3.4.0.608_patch1)或更高版本
注:无临时缓解措施,必须安装安全更新。
关联漏洞
同步披露的中危认证绕过漏洞CVE-2025-20264影响所有3.4及更早版本。该漏洞源于SAML单点登录集成授权缺陷,攻击者可利用合法凭证修改系统配置或重启设备。修复方案:
- 3.4版本需升级至Patch 23.3版本需升级至Patch 53.2版本预计2025年11月通过Patch 8修复
注:3.1及更早版本已停止支持,需迁移至新版本。
消息来源: bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
