评分10.0！思科警告 ISE 曝最高危 RCE 漏洞

HackerNews 编译，转载请注明出处： 思科近日发布安全公告，警告其身份服务引擎（ISE）及被动身份连接器（ISE-PIC）存在两个未认证的远程代码执行（RCE）漏洞（编号CVE-2025-20281与CVE-2025-20282），均被评定为最高危级（CVSS评分：10.0）。其中CVE-2025-20281影响ISE与ISE-PIC的3.3和3.4版本，而CVE-2025-20282仅影响3.4版本。 漏洞原理与影响 CVE-2025-20281：特定API对用户输入验证不足，未认证攻击者可构造恶意API请求，以root权限执行任意操作系统命令。 CVE-2025-20282：内部API文件校验机制缺陷，攻击者可向特权目录上传任意文件并以root权限执行。 思科ISE作为企业级网络访问控制与策略执行平台，广泛应用于政府、高校及大型企业网络核心层。成功利用上述漏洞可实现设备完全接管，无需用户交互或认证凭证。目前尚无活跃攻击迹象，但强烈建议优先修复。 修复方案 升级至3.3 Patch 6（补丁号：ise-apply-CSCwo99449_3.3.0.430_patch4）或更高版本 升级至3.4 Patch 2（补丁号：ise-apply-CSCwo99449_3.4.0.608_patch1）或更高版本 注：无临时缓解措施，必须安装安全更新。 关联漏洞 同步披露的中危认证绕过漏洞CVE-2025-20264影响所有3.4及更早版本。该漏洞源于SAML单点登录集成授权缺陷，攻击者可利用合法凭证修改系统配置或重启设备。修复方案： 3.4版本需升级至Patch 2 3.3版本需升级至Patch 5 3.2版本预计2025年11月通过Patch 8修复 注：3.1及更早版本已停止支持，需迁移至新版本。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文