去年思科公布及修補多項網路存取控制(NAC)平臺Identity Services Engine(ISE)資安漏洞,其中有多個CVSS風險評分接近或達到滿分10分,相當危險而引起外界高度關注,現在他們公布另一個僅有4.9分的中度風險漏洞,並指出已有概念驗證工具(PoC),消息一出,各大資安新聞媒體跟進報導。
1月7日思科發布資安公告揭露CVE-2026-20029,此為ISE與ISE被動身分識別連接器(ISE Passive Identity Connector,ISE-PIC)的資訊洩露漏洞,存在於授權(licensing)的功能,通過身分驗證且具有管理權限的攻擊者能遠端觸發漏洞,存取敏感資訊,CVSS風險值為4.9分,他們特別提及,已有公開的漏洞利用概念驗證程式碼,使得攻擊者可將漏洞用於實際攻擊。此漏洞影響3.4版以下的ISE與ISE-PIC,思科發布3.2 Patch 8、3.3 Patch 8,以及3.4 Patch 4版修補,3.5版用戶不受影響。
這個漏洞發生的原因,在於ISE與ISE-PIC的網頁管理介面對於XML檔案處理不當,攻擊者可上傳惡意檔案至應用程式觸發,一旦成功利用,就有機會從作業系統底層讀取任何檔案,其中包括管理員都無法存取的敏感資料。不過,利用漏洞存在必要條件,那就是攻擊者必須事先取得有效的管理員憑證。
由於沒有其他替代緩解措施,思科呼籲用戶儘速套用新版軟體因應。回顧2025,該公司於6月初修補風險值達9.9的CVE-2025-20286,後續於6月底至7月初,修補風險值滿分的CVE-2025-20281、CVE-2025-20282,以及CVE-2025-20337;Amazon威脅情報團隊發現,國家級駭客在思科公布CVE-2025-20337之前,已用於實際攻擊。
熱門新聞
2026-01-10
2026-01-09
2026-01-09
2026-01-09
2026-01-09