Cisco近日发布了修补程序,旨在解决其身份服务引擎(ISE)和客户协作平台(CCP)中存在的三处漏洞,这些漏洞已经有公开的利用代码。据报道,其中最严重的漏洞为静态凭证漏洞,编号为CVE-2025-20286,由GMO Cybersecurity的Kentaro Kawane发现。该漏洞在云平台上部署Cisco ISE时由于凭证生成不当,导致不同部署间共享凭证。
未经认证的攻击者可以通过从Cisco ISE云部署中提取用户凭证,进而访问其他云环境中的安装。Cisco表示,此漏洞仅在云环境中部署主要管理节点时才可被成功利用。
此外,Cisco还修补了另外两个安全漏洞:一个是任意文件上传漏洞(CVE-2025-20130),另一个是信息泄露漏洞(CVE-2025-20129)。
