思科ISE爆3項CVSS等級10漏洞 已證實遭駭客濫用籲盡快更新

記者孫敬／編譯

思科系統（Cisco Systems）近日發布了嚴重的資安報告，指出其身份識別服務引擎（Identity Services Engine, ISE）存在多個遠端程式碼執行（RCE）漏洞，且駭客已透過弱點進行攻擊。這些漏洞在常見漏洞評分系統（CVSS）評分達滿分10.0，意味著未經身份驗證的遠端攻擊者，就能在受影響的系統上以最高管理員（Root）權限執行任意指令。

延伸閱讀：全球逾百組織遭駭！微軟SharePoint「零日漏洞」釀資安危機 傳與中國駭客有關

漏洞源於API輸入驗證不足，駭客免認證即可上傳並執行惡意檔案

思科本次發現三個獨立的漏洞，編號分別為CVE-2025-20281、CVE-2025-20282與CVE-2025-20337，影響思科ISE及ISE被動身份識別連接器（ISE Passive Identity Connector, ISE-PIC）部署環境。思科產品安全事件應變小組（PSIRT）在今年7月證實有駭客濫用部分漏洞，呼籲用戶盡快完成更新。

當中最嚴重的兩個漏洞，CVE-2025-20281和CVE-2025-20337，都源於ISE 3.3跟3.4版本的特定API對於使用者輸入的驗證不足，讓攻擊者傳送惡意API不經驗證取得Root權限。第三個漏洞 CVE-2025-20282 則僅影響ISE 3.4版本，該漏洞缺乏適當檔案驗證檢查的內部API。

思科提醒，運行ISE Release 3.4 Patch 2的組織無需進一步行動，因為此版本已包含所有必要的修復內容。然而，運 ISE Release 3.3 Patch 6的系統，則必須升級到 Release 3.3 Patch 7 才能獲得完整保護。思科更明確警告，先前發布的熱門修補程式（ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz 和 ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz）並未能解決CVE-2025-20337，這些修補程式已經撤回。

資料來源：Cyber Security News

瀏覽 667 次