思科公司披露了其身份服务引擎(ISE)软件中的两个关键漏洞,CVE-2025-20124和CVE-2025-20125,CVSS评分分别为9.9和9.1,严重性评级极高。这两个漏洞可能允许已认证的攻击者执行以下操作:远程任意命令执行、系统权限提升以及配置参数篡改。
截至目前,思科产品安全事件响应团队(PSIRT)尚未发现这些漏洞被公开利用或恶意使用的证据。但这些关键漏洞的发现进一步强调了,在企业环境中保持软件更新以及保护管理权限凭证的重要性。
1. CVE-2025-20124 反序列化漏洞
-
成因:API 接口对 Java 字节流反序列化处理不当
-
攻击方式:通过 API 发送恶意序列化 Java 对象
-
影响:获得 root 权限执行任意命令,从而可能完全控制整个设备
2. CVE-2025-20125 权限绕过漏洞
-
成因:API 授权机制缺陷 + 用户输入验证不足
-
攻击方式:向易受攻击的API发送精心构造的HTTP请求
-
攻击效果:窃取敏感信息、修改系统配置、强制节点重启
两个漏洞都要求攻击者具备有效的只读管理凭证,这也强调了保护此类账户的重要性。
这些漏洞影响思科ISE和思科ISE被动身份连接器(ISE-PIC),无论设备配置如何。具体受影响的软件版本包括3.0、3.1、3.2和3.3,已确认3.4版本不受影响。
-
3.1版本:在3.1P10版本中修复
-
3.2版本:在3.2P7版本中修复
-
3.3版本:在3.3P4版本中修复
思科已经发布了免费的软件更新以解决这些漏洞,由于没有可用的临时解决方案,建议所有受影响用户立即升级系统,以降低潜在利用风险。
原文始发于微信公众号(FreeBuf):思科披露两个严重的身份服务引擎漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论