吳明宜思科上周發佈安全更新,修補身分服務引擎 (Identity Services Engine, ISE) 和 ISE Passive Identity Connector (ISE-PIC) 一個能讓遠端未授權攻擊者以根權限在 OS 上執行任意程式碼的 10 分滿分漏洞,是近來發現的第三宗。
ISE 是思科網路存取和安全政策管理平台,ISE-PIC 為將所有安全工具的集中身份管理平台。
CVE-2025-20337 出於六月思科 ISE 安全問題修補不足。
六月份思科安全更新修補由趨勢科技 ZDI 小組發現的 CVE2025-20281,但修補程式無法解決,ZDI 事後判定是類似但不同的漏洞,並命名為 CVE2025-20337 。本月更新則是解決 CVE-2025-20338 及 CVE-2025-20282 。 CVE-202520281 、 CVE-202520282 和 CVE-2025-20337 皆出在 ISE 、 ISE-PIC API 對使用者輸入驗證不足,讓攻擊者發送 API 呼叫,濫用漏洞,而取得電腦根權限,接管該電腦。
以 CVSS 風險值而言,CVE-202520281 和 CVE-202520282 風險值分別為 10 及 9.8 。 CVE-2025-20337 和 CVE-202520281 相關,也是個 10 分漏洞。三項漏洞影響產品包含 ISE 、 ISE-PIC 3.3 和 3.4 。
雖然安全廠商尚未發現有漏洞濫用情形,但呼籲企業及早安裝更新版軟體。如果 Cisco ISE 執行的是 3.4 Release Patch 2,無需再動作,如果 Cisco ISE 執行的是 Release 3.3 Patch 6,則需再安裝 Patch 7 。
來源:The Register