思科近月接連修補ISE及ISE-PIC 三項風險值10的重大漏洞,本周進一步警告這些漏洞正發生濫用活動。
思科透過最新安全公告指出,2025年7月獲知網路上有濫用部份漏洞的意圖。思科持續強烈建議客戶升級到已修補漏洞的軟體版本,降低漏洞攻擊風險。
最新漏洞影響思科網路存取控制平臺ISE(Identity Services Engine,ISE),以及ISE被動身分識別連接器(Passive Identity Connector,ISE-PIC)。這3項分別是6月份公告的CVE-2025-20281、CVE-2025-20282及上周公告的CVE-2025-20337,皆為CVSS score 10的遠端程式碼執行漏洞。
其中CVE-2025-20281源自於對使用者輸入的驗證不足,讓攻擊者可傳送惡意API請求觸發,不經驗證而以Root權限在OS執行任意程式碼。本漏洞於ISE 3.3 Patch 7及3.4 Patch 2修補。
CVE-2025-20282起因為對檔案上傳驗證不足,允許攻擊者上傳惡意檔案到特權目錄,以Root權限執行。這項漏洞於ISE 3.4 Patch 2修補,不影響ISE 3.3或以前版本。
CVE-2025-20337也是出於輸入驗證不足,讓攻擊者傳送變造API請求,無需憑證即可以Root權限執行程式。如同CVE-2025-20281,本漏洞也是於ISE 3.3 Patch 7及3.4 Patch 2修補。
簡言之,思科分別針對ISE(ISE-PIC)3.3、3.4釋出更新版本。ISE 3.3用戶應升級到Patch 7,而ISE 3.4用戶應升級到Patch 2。
7月24日更正說明 內文最後一段提及「思科分別釋出二項hot patch修補ISE(ISE-PIC)3.3、3.4版本。」當中的hot patch敘述有誤,正確應為「更新版本」
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
2025-12-04