思科修補身分服務引擎的驗證繞過漏洞

思科本周發布安全更新，修補身分服務引擎（Identity Service Engine，ISE）上高度風險的漏洞。

編號CVE-2025-20286的漏洞一旦被成功濫用，駭客就可存取在AWS、Azure或OCI等雲端平臺的Cisco ISE執行個體，進而取得敏感資料、執行部份管理員運作、修改系統配置或擾亂受害系統內的服務。

思科說明，這項漏洞起於思科ISE部署在雲端平臺時憑證產出不當，導致多個不同ISE執行個體可共用同一組憑證，只要這些環境的ISE軟體版本和雲端平臺一樣。攻擊者可以從雲端上的Cisco ISE執行個體擷取出用戶憑證，再以不安全的傳輸埠存取另一雲端平臺上的ISE執行個體，進而執行惡意存取行為。

CVE-2025-20286屬高風險漏洞，CVSS 3.1風險值高達9.9。

不過思科表示，只有主管理節點部署在雲端時，Cisco ISE才會受此漏洞影響，若主管理節點是部署在本地資料中心，Cisco ISE就不受影響。

思科已釋出新版軟體更新修補漏洞，且沒有替代解決方案。但思科建議管理員可以將存取雲端ISE的來源IP，限制為平臺安全群組或是管理員。