思科ISE/ISE-PIC安全警报:两处高危RCE漏洞(CVSS 10.0)可致未授权获取root权限
思科修复了身份服务引擎(ISE)及ISE-PIC中的两个最高危安全漏洞(CVE-2025-20281和CVE-2025-20282),这些漏洞可能导致未经认证的攻击者以root权限执行任意代码或上传恶意文件。建议用户升级至指定版本以防范潜在威胁。 2025-6-26 10:54:0 Author: www.freebuf.com(查看原文) 阅读量:16 收藏

freeBuf

主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

image

思科已发布更新,修复身份服务引擎(Identity Services Engine,ISE)及ISE被动身份连接器(ISE-PIC)中两处最高危安全漏洞,这些漏洞可能允许未经认证的攻击者以root用户身份执行任意命令。

漏洞详情

这两处漏洞编号分别为CVE-2025-20281和CVE-2025-20282,CVSS评分均为10.0分:

  • CVE-2025-20281:影响思科ISE及ISE-PIC 3.3及以上版本的未认证远程代码执行漏洞,远程攻击者可利用此漏洞在底层操作系统以root权限执行任意代码
  • CVE-2025-20282:影响思科ISE及ISE-PIC 3.4版本的未认证远程代码执行漏洞,远程攻击者可利用此漏洞向受影响设备上传任意文件,并以root权限在底层操作系统执行这些文件

漏洞成因

思科表示,CVE-2025-20281源于对用户输入验证不足,攻击者通过发送特制API请求即可获取提升权限并执行命令。而CVE-2025-20282则由于缺乏文件验证检查,导致上传文件可被放置到特权目录中。

"成功利用漏洞可能允许攻击者在受影响系统存储恶意文件,进而执行任意代码或获取系统root权限。"思科在公告中强调。

修复方案

该网络设备厂商表示暂无临时解决方案,建议用户升级至以下版本:

  • CVE-2025-20281:思科ISE或ISE-PIC 3.3补丁6(ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz)、3.4补丁2(ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz)
  • CVE-2025-20282:思科ISE或ISE-PIC 3.4补丁2(ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz)

致谢与建议

思科确认趋势科技零日计划(Trend Micro Zero Day Initiative)的Bobby Gould和GMO Cybersecurity的Kentaro Kawane报告了CVE-2025-20281。Kawane此前还报告过CVE-2025-20286(CVSS评分9.9),此次也被确认报告了CVE-2025-20282。

尽管目前尚未发现这些漏洞在野利用的证据,但用户仍需尽快应用修复补丁以防范潜在威胁。

参考来源:

Critical RCE Flaws in Cisco ISE and ISE-PIC Allow Unauthenticated Attackers to Gain Root Access

本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)


文章来源: https://www.freebuf.com/articles/system/436596.html
如有侵权请联系:admin#unsafe.sh