思科披露两个严重的身份服务引擎漏洞

admin 2025年2月7日00:07:28评论26 views字数 708阅读2分21秒阅读模式

思科披露两个严重的身份服务引擎漏洞

思科公司披露了其身份服务引擎(ISE)软件中的两个关键漏洞,CVE-2025-20124和CVE-2025-20125,CVSS评分分别为9.9和9.1,严重性评级极高。这两个漏洞可能允许已认证的攻击者执行以下操作:远程任意命令执行、系统权限提升以及配置参数篡改。

思科披露两个严重的身份服务引擎漏洞

截至目前,思科产品安全事件响应团队(PSIRT)尚未发现这些漏洞被公开利用或恶意使用的证据。但这些关键漏洞的发现进一步强调了,在企业环境中保持软件更新以及保护管理权限凭证的重要性。

漏洞技术细节

1. CVE-2025-20124 反序列化漏洞

  • 成因:API 接口对 Java 字节流反序列化处理不当

  • 攻击方式:通过 API 发送恶意序列化 Java 对象

  • 影响:获得 root 权限执行任意命令,从而可能完全控制整个设备

2. CVE-2025-20125 权限绕过漏洞

  • 成因:API 授权机制缺陷 + 用户输入验证不足

  • 攻击方式:向易受攻击的API发送精心构造的HTTP请求

  • 攻击效果:窃取敏感信息、修改系统配置、强制节点重启

两个漏洞都要求攻击者具备有效的只读管理凭证,这也强调了保护此类账户的重要性。

受影响的产品以及解决方案

这些漏洞影响思科ISE和思科ISE被动身份连接器(ISE-PIC),无论设备配置如何。具体受影响的软件版本包括3.0、3.1、3.2和3.3,已确认3.4版本不受影响。

  • 3.1版本:在3.1P10版本中修复

  • 3.2版本:在3.2P7版本中修复

  • 3.3版本:在3.3P4版本中修复

思科已经发布了免费的软件更新以解决这些漏洞,由于没有可用的临时解决方案,建议所有受影响用户立即升级系统,以降低潜在利用风险。

原文始发于微信公众号(FreeBuf):思科披露两个严重的身份服务引擎漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月7日00:07:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   思科披露两个严重的身份服务引擎漏洞http://cn-sec.com/archives/3706498.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息