思科已发布更新,以修复身份服务引擎(ISE)存在的两个严重安全漏洞。这些漏洞可能使远程攻击者在易受攻击的设备上执行任意命令并提升权限。
以下为相关漏洞:
- CVE – 2025 – 20124(CVSS 评分:9.9):思科 ISE 的一个应用程序编程接口(API)存在不安全的 Java 反序列化漏洞,这使得经过身份验证的远程攻击者能够以 root 用户身份在受影响设备上执行任意命令。
- CVE – 2025 – 20125(CVSS 评分:9.1):思科 ISE 的一个 API 存在授权绕过漏洞,持有有效只读凭证且经过身份验证的远程攻击者可借此获取敏感信息、更改节点配置并重启节点。
攻击者可通过向某个未明确说明的 API 端点发送精心构造的序列化 Java 对象或 HTTP 请求,利用上述任意一个漏洞,进而实现权限提升与代码执行。
网络安全方面:
思科称这两个漏洞相互独立,且没有可缓解漏洞影响的临时解决方案。以下版本已修复这些漏洞:
思科称这两个漏洞相互独立,且没有可缓解漏洞影响的临时解决方案。以下版本已修复这些漏洞:
- 思科 ISE 软件版本 3.0(需迁移至修复版本)
- 思科 ISE 软件版本 3.1(在 3.1P10 版本中修复)
- 思科 ISE 软件版本 3.2(在 3.2P7 版本中修复)
- 思科 ISE 软件版本 3.3(在 3.3P4 版本中修复)
- 思科 ISE 软件版本 3.4(不存在此漏洞)
德勤安全研究人员丹・马林(Dan Marin)和塞巴斯蒂安・拉杜莱亚(Sebastian Radulea)因发现并报告这些漏洞而获赞誉。
尽管这家网络设备巨头表示尚未察觉到这些漏洞被恶意利用的情况,但仍建议用户及时更新系统,以获得最佳防护。
发表评论
您还未登录,请先登录。
登录