思科已发布补丁,以修复其身份服务引擎(Identity Services Engine, ISE)安全策略管理平台中的两个关键漏洞,该平台用于身份和访问管理。这些漏洞被标识为 CVE-2025-20124 和 CVE-2025-20125,具有只读管理员权限的经过身份验证的远程攻击者可以利用这些漏洞,以 root 身份运行任意命令并绕过授权。来源。 这些漏洞影响 Cisco ISE 和 ISE 被动身份连接器(ISE-PIC)设备。由于 Java 字节流的不安全反序列化,CVE-2025-20124 缺陷的严重性评级为 9.9/10。攻击者可以发送构建的序列化 Java 对象来执行任意命令并提升权限。CVE-2025-20125 漏洞则源于特定 API 授权不足和数据验证不当,可能导致未经授权的系统配置更改和设备重新加载。 管理员被敦促立即将其 Cisco ISE 设备迁移或升级到思科提供的修复版本,以减轻这些风险。思科产品安全事件响应团队(PSIRT)尚未发现有公开可用的漏洞利用代码,也未发现这些漏洞已被广泛利用的证据。
