思科：身份服务引擎中存在严重的RCE漏洞

思科发布了一份公告，对影响思科身份服务引擎（ISE）和被动身份连接器（ISE- pic）的两个关键、未经身份验证的远程代码执行（RCE）漏洞进行了告警。

根据CVE-2025-20281和CVE-2025-20282跟踪的漏洞被评为最大严重程度（CVSS评分：10.0）。第一个影响ISE和ISE- pic版本3.4和3.3，而第二个只影响3.4版本。

CVE-2025-20281的根本原因是对特定暴露的API中用户提供的输入验证不足。这允许未经身份验证的远程攻击者发送特制的API请求，以root用户的身份执行任意操作系统命令。

第二个问题，CVE-2025-20282，是由于内部API中的文件验证不佳导致的，允许将文件写入特权目录。该漏洞允许未经身份验证的远程攻击者将任意文件上传到目标系统，并以root权限执行它们。

思科身份服务引擎（ISE）是一个网络安全策略管理和访问控制平台，用于组织管理其网络连接，作为网络访问控制（NAC）、身份管理和策略实施工具。该产品通常由大型企业、政府组织、大学和服务提供商使用，位于企业网络的核心。

此次影响它的两个漏洞可以在没有任何身份验证或用户交互的情况下完全破坏和完全远程接管目标设备。

思科在公告中指出，它不知道有任何针对这两个漏洞的主动利用案例，但应该优先安装新的更新。建议用户升级到3.3 Patch 6 （ise-apply-CSCwo99449_3.3.0.430_patch4）和3.4 Patch 2 （ise-apply-CSCwo99449_3.4.0.608_patch1）及以上版本。没有提供缓解这些漏洞的解决方案，因此建议使用安全更新。

思科还发布了一份关于中等严重性身份验证绕过漏洞的单独公告，追踪为CVE-2025-20264，该漏洞也会影响ISE。

该漏洞是由于对通过与外部身份提供程序集成的SAML SSO创建的用户的授权实施不足造成的。具有有效SSO身份验证凭证的攻击者可以发送特定的命令序列来修改系统设置或执行系统重启。

CVE-2025-20264 影响所有版本的ISE，直到3.4Patch。3.4 Patch 2和3.3 Patch 5提供了修复程序。供应商承诺通过3.2 Patch 8修复该漏洞，该补丁计划于2025年11月发布，以解决3.2版本的问题。