1140701弱點通告:Cisco 兩項網路存取控制平臺ISE滿分資安漏洞,建議請管理者儘速評估更新!
風險等級:高度威脅
受影響廠牌如下:
*Cisco ISE 和 ISE-PIC 3.3 版本
*Cisco ISE 和 ISE-PIC 3.4 版本
解決辦法:
請參考 Cisco 官方網站的說明和處理建議: 1.Cisco ISE 和 ISE-PIC 3.3 Patch 6 版本 2.Cisco ISE 和 ISE-PIC 3.4 Patch 2 版本
細節描述:
Cisco 身分服務引擎 (ISE) 和Cisco ISE 被動式身分連接器 (ISE-PIC) 中的多個漏洞可能允許未經驗證的遠端攻擊者以root使用者身分在底層作業系統上發出命令。
CVE-2025-20281:CVSS 10
Cisco ISE 和 Cisco ISE-PIC 的特定 API 中存在漏洞,可能允許未經驗證的遠端攻擊者以root 身分在底層作業系統上執行任意程式碼。攻擊者無需任何有效憑證即可利用此漏洞。
此漏洞是由於對使用者輸入的驗證不足所造成的。攻擊者可以透過提交精心設計的 API 請求來利用此漏洞。成功利用此漏洞可使攻擊者獲得受影響裝置的root權限。
CVE-2025-20282:CVSS 10
Cisco ISE 和 Cisco ISE-PIC 的內部 API 中存在漏洞,可能允許未經身份驗證的遠端攻擊者將任意檔案上傳到受影響的設備,然後以root 身分在底層作業系統上執行這些檔案。
此漏洞是由於缺少檔案驗證檢查而導致的,該檢查可以防止上傳的檔案被放置在受影響系統上的特權目錄中。攻擊者可以透過將精心設計的檔案上傳到受影響的裝置來利用此漏洞。成功利用此漏洞後,攻擊者可以在受影響的系統上儲存惡意文件,然後執行任意程式碼或取得系統的root權限。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php
參考資訊:
ithome
cisco
備註:請非集中機房系統團隊確認,並回復本署資訊中心許小姐(e-s544@mail.k12ea.gov.tw)處理情形,謝謝。
1140701國家資通安全研究院資安訊息警訊(事件編號:NICS-ANA-2025-0000283)
發布時間 Mon Jun 30 17:58:13 CST 2025
事件類型 漏洞預警
發現時間Mon Jun 30 00:00:00 CST2025
警訊名稱
Cisco ISE與ISE-PIC存在高風險安全漏洞(CVE-2025-20281與CVE-2025-20282),請儘速確認並進行修補
內容說明
研究人員發現Cisco Identity Services Engine (ISE)與ISE被動身分識別連接器(ISE-PIC)存在2個高風險安全漏洞(CVE-2025-20281與CVE-2025-20282),類型分別為指令注入(Command Injection)與任意檔案上傳(Arbitrary File Upload),兩者皆可使未經身分鑑別之遠端攻擊者以root權限執行任意程式碼,請儘速確認並進行修補
影響平台
【CVE-2025-20281】
Cisco ISE 3.3與3.4版
Cisco ISE-PIC 3.3與3.4版
【CVE-2025-20282】
Cisco ISE 3.4版
Cisco ISE-PIC 3.4版
影響等級 高
建議措施
官方已針對漏洞釋出修復更新,請參考官方說明進行更新,網址如下:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisor
y/cisco-sa-ise-unauth-rce-ZAd2GnJ6
參考資料
1. https://nvd.nist.gov/vuln/detail/CVE-2025-20281
2. https://nvd.nist.gov/vuln/detail/CVE-2025-20282
3.https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisor
y/cisco-sa-ise-unauth-rce-ZAd2GnJ6
備註:請非集中機房系統團隊確認,並回復本署資訊中心許小姐(e-s544@mail.k12ea.gov.tw)處理情形,謝謝。
