【安全资讯】思科修复两处身份服务引擎安全漏洞

概要：

思科公司近期修复了其身份服务引擎（ISE）中的两处关键安全漏洞，这些漏洞可能允许经过身份验证的远程攻击者以root身份执行任意命令，访问敏感信息，修改配置并重启受影响设备。这些漏洞的严重性评分分别为9.9和9.1，攻击者需要有效的只读管理凭证才能利用这些漏洞。

主要内容：

这两处漏洞分别为CVE-2025-20124和CVE-2025-20125，均影响思科ISE及其被动身份连接器（ISE-PIC）版本3.0至3.3。第一个漏洞涉及用户提供的Java字节流的不安全反序列化，攻击者可以通过向受影响的API发送精心构造的序列化Java对象来利用该漏洞。一旦成功，攻击者将能够在设备上执行任意命令并提升权限。

第二个漏洞是授权绕过漏洞，允许经过身份验证的远程攻击者使用有效的只读凭证获取敏感信息、修改节点配置并重启节点。此漏洞源于特定API未能执行授权检查或正确验证用户提供的数据，攻击者只需向设备上的API发送HTTP请求即可触发。

思科已发布补丁以修复这些漏洞，并建议使用受影响版本的用户尽快升级到修复版本。尽管目前思科尚未发现这些漏洞在野外被利用的案例，但由于这些漏洞的存在，攻击者可能会通过窃取或购买管理凭证来完全控制设备，给企业带来潜在的安全风险。