6月底思科針對旗下網路存取控制(NAC)平臺Identity Services Engine(ISE),以及ISE被動身分識別連接器(ISE Passive Identity Connector,ISE-PIC)發布更新,修補風險值達到滿分的資安漏洞CVE-2025-20281、CVE-2025-20282,但如今他們更新公告內容,指出還有另一個滿分漏洞CVE-2025-20337,部分IT人員必須採取行動因應。
這項漏洞影響執行3.3 Patch 6版的ISE系統,或是IT人員套用熱修補緩解CVE-2025-20281、CVE-2025-20282的ISE系統,3.2版、3.4 Patch 2版不受影響。附帶一提的是,這項漏洞也同樣沒有其他替代緩解措施,對此,思科呼籲IT人員,應儘速將ISE升級至3.3 Patch 7或3.4 Patch 2因應。
針對CVE-2025-20337,思科表示與CVE-2025-20281雷同,都是存在於特定API的未經授權遠端程式碼執行(RCE)漏洞,起因是對於使用者輸入的驗證不足,攻擊者可藉由特製API請求觸發,成功利用能取得root權限,並在作業系統底層執行任意程式碼。值得留意的是,攻擊者利用漏洞的過程,無須事先取得有效的帳密資料。
熱門新聞
2025-12-02
2025-12-01
2025-12-01
2025-12-01
2025-12-04
2025-11-30
Advertisement