思科已发布更新,修复身份服务引擎(Identity Services Engine,ISE)及ISE被动身份连接器(ISE-PIC)中两处最高危安全漏洞,这些漏洞可能允许未经认证的攻击者以root用户身份执行任意命令。
漏洞详情
这两处漏洞编号分别为CVE-2025-20281和CVE-2025-20282,CVSS评分均为10.0分:
- CVE-2025-20281:影响思科ISE及ISE-PIC 3.3及以上版本的未认证远程代码执行漏洞,远程攻击者可利用此漏洞在底层操作系统以root权限执行任意代码
- CVE-2025-20282:影响思科ISE及ISE-PIC 3.4版本的未认证远程代码执行漏洞,远程攻击者可利用此漏洞向受影响设备上传任意文件,并以root权限在底层操作系统执行这些文件
漏洞成因
思科表示,CVE-2025-20281源于对用户输入验证不足,攻击者通过发送特制API请求即可获取提升权限并执行命令。而CVE-2025-20282则由于缺乏文件验证检查,导致上传文件可被放置到特权目录中。
"成功利用漏洞可能允许攻击者在受影响系统存储恶意文件,进而执行任意代码或获取系统root权限。"思科在公告中强调。
修复方案
该网络设备厂商表示暂无临时解决方案,建议用户升级至以下版本:
- CVE-2025-20281:思科ISE或ISE-PIC 3.3补丁6(ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz)、3.4补丁2(ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz)
- CVE-2025-20282:思科ISE或ISE-PIC 3.4补丁2(ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz)
致谢与建议
思科确认趋势科技零日计划(Trend Micro Zero Day Initiative)的Bobby Gould和GMO Cybersecurity的Kentaro Kawane报告了CVE-2025-20281。Kawane此前还报告过CVE-2025-20286(CVSS评分9.9),此次也被确认报告了CVE-2025-20282。
尽管目前尚未发现这些漏洞在野利用的证据,但用户仍需尽快应用修复补丁以防范潜在威胁。
)
)
)
