思科ISE/ISE-PIC安全警报：两处高危RCE漏洞（CVSS 10.0）可致未授权获取root权限

思科已发布更新，修复身份服务引擎（Identity Services Engine，ISE）及ISE被动身份连接器（ISE-PIC）中两处最高危安全漏洞，这些漏洞可能允许未经认证的攻击者以root用户身份执行任意命令。

漏洞详情

这两处漏洞编号分别为CVE-2025-20281和CVE-2025-20282，CVSS评分均为10.0分：

• CVE-2025-20281：影响思科ISE及ISE-PIC 3.3及以上版本的未认证远程代码执行漏洞，远程攻击者可利用此漏洞在底层操作系统以root权限执行任意代码
• CVE-2025-20282：影响思科ISE及ISE-PIC 3.4版本的未认证远程代码执行漏洞，远程攻击者可利用此漏洞向受影响设备上传任意文件，并以root权限在底层操作系统执行这些文件

漏洞成因

思科表示，CVE-2025-20281源于对用户输入验证不足，攻击者通过发送特制API请求即可获取提升权限并执行命令。而CVE-2025-20282则由于缺乏文件验证检查，导致上传文件可被放置到特权目录中。

"成功利用漏洞可能允许攻击者在受影响系统存储恶意文件，进而执行任意代码或获取系统root权限。"思科在公告中强调。

修复方案

该网络设备厂商表示暂无临时解决方案，建议用户升级至以下版本：

• CVE-2025-20281：思科ISE或ISE-PIC 3.3补丁6（ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz）、3.4补丁2（ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz）
• CVE-2025-20282：思科ISE或ISE-PIC 3.4补丁2（ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz）

致谢与建议

思科确认趋势科技零日计划（Trend Micro Zero Day Initiative）的Bobby Gould和GMO Cybersecurity的Kentaro Kawane报告了CVE-2025-20281。Kawane此前还报告过CVE-2025-20286（CVSS评分9.9），此次也被确认报告了CVE-2025-20282。

尽管目前尚未发现这些漏洞在野利用的证据，但用户仍需尽快应用修复补丁以防范潜在威胁。