评分10.0！思科警告 ISE 曝最高危 RCE 漏洞

思科近日发布安全公告，警告其身份服务引擎（ISE）及被动身份连接器（ISE-PIC）存在两个未认证的远程代码执行（RCE）漏洞（编号CVE-2025-20281与CVE-2025-20282），均被评定为最高危级（CVSS评分：10.0）。其中CVE-2025-20281影响ISE与ISE-PIC的3.3和3.4版本，而CVE-2025-20282仅影响3.4版本。

漏洞原理与影响

1. CVE-2025-20281：特定API对用户输入验证不足，未认证攻击者可构造恶意API请求，以root权限执行任意操作系统命令。
2. CVE-2025-20282：内部API文件校验机制缺陷，攻击者可向特权目录上传任意文件并以root权限执行。

思科ISE作为企业级网络访问控制与策略执行平台，广泛应用于政府、高校及大型企业网络核心层。成功利用上述漏洞可实现设备完全接管，无需用户交互或认证凭证。目前尚无活跃攻击迹象，但强烈建议优先修复。

修复方案

1. 升级至3.3 Patch 6（补丁号：ise-apply-CSCwo99449_3.3.0.430_patch4）或更高版本
2. 升级至3.4 Patch 2（补丁号：ise-apply-CSCwo99449_3.4.0.608_patch1）或更高版本

注：无临时缓解措施，必须安装安全更新。

关联漏洞

同步披露的中危认证绕过漏洞CVE-2025-20264影响所有3.4及更早版本。该漏洞源于SAML单点登录集成授权缺陷，攻击者可利用合法凭证修改系统配置或重启设备。修复方案：

1. 3.4版本需升级至Patch 2
2. 3.3版本需升级至Patch 5
3. 3.2版本预计2025年11月通过Patch 8修复

注：3.1及更早版本已停止支持，需迁移至新版本。

消息来源： bleepingcomputer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；