思科解决了身份服务引擎中的关键漏洞,防止权限提升和系统配置更改。
思科解决了多个漏洞,包括身份服务引擎(ISE)中两个关键的远程代码执行漏洞,分别为 CVE – 2025 – 20124(CVSS 评分为 9.9)和 CVE – 2025 – 20125(CVSS 评分为 9.1)。
具有只读管理权限的远程攻击者可能会利用这些漏洞在存在缺陷的设备上执行任意命令。
CVE – 2025 – 20124 漏洞是思科 ISE 的应用程序接口(API)中存在的不安全的 Java 反序列化问题,这可能使经过身份验证的远程攻击者能够在受影响的设备上以根用户身份执行任意命令。
安全公告中写道:“此漏洞是由于受影响的软件对用户提供的 Java 字节流进行了不安全的反序列化。攻击者可以通过向受影响的 API 发送精心构造的序列化 Java 对象来利用此漏洞。一旦成功利用,攻击者就可以在设备上执行任意命令并提升权限。”
CVE – 2025 – 20125 漏洞是一个授权绕过问题,这可能使具有有效只读凭据的经过身份验证的远程攻击者获取敏感信息、更改节点配置并重启节点。
安全公告中写道:“此漏洞是由于特定 API 中缺乏授权以及对用户提供的数据验证不当造成的。攻击者可以通过向设备上的特定 API 发送精心构造的 HTTP 请求来利用此漏洞。一旦成功利用,攻击者就能够获取信息、修改系统配置并重启设备。”
“要成功利用此漏洞,攻击者必须拥有有效的只读管理凭据。在单节点部署中,新设备在重启期间将无法进行身份验证。”
这家 IT 巨头警告称,没有能够解决这些漏洞的变通方法。
该公司建议客户升级到相应的已修复软件版本:
| 思科 ISE 软件版本 | 首个修复版本 |
|---|---|
| 3.0 | 迁移到修复版本 |
| 3.1 | 3.1P10 |
| 3.2 | 3.2P7 |
| 3.3 | 3.3P4 |
| 3.4 | 无漏洞 |
该公司的产品安全事件响应团队(PSIRT)尚未发现有攻击者在实际中利用这些漏洞。
CVE – 2025 – 20124 漏洞是由德勤的丹・马林(Dan Marin)和塞巴斯蒂安・拉杜莱亚(Sebastian Radulea)报告的,而 CVE – 2025 – 20125 漏洞是由德勤的塞巴斯蒂安・拉杜莱亚报告的。
发表评论
您还未登录,请先登录。
登录