思科披露两个严重的身份服务引擎漏洞

跳舞的花栗鼠 FreeBuf 2025-02-06 11:02

思科公司披露了其身份服务引擎（ISE）软件中的两个关键漏洞，CVE-2025-20124和CVE-2025-20125，CVSS评分分别为9.9和9.1，严重性评级极高。这两个漏洞可能允许已认证的攻击者执行以下操作：远程任意命令执行、系统权限提升以及配置参数篡改。

截至目前，思科产品安全事件响应团队（PSIRT）尚未发现这些漏洞被公开利用或恶意使用的证据。但这些关键漏洞的发现进一步强调了，在企业环境中保持软件更新以及保护管理权限凭证的重要性。

漏洞技术细节

1. CVE-2025-20124 反序列化漏洞

• 成因
  ：API 接口对 Java 字节流反序列化处理不当

• 攻击方式
  ：通过 API 发送恶意序列化 Java 对象

• 影响
  ：获得 root 权限执行任意命令，从而可能完全控制整个设备

2. CVE-2025-20125 权限绕过漏洞

• 成因
  ：API 授权机制缺陷 + 用户输入验证不足

• 攻击方式
  ：向易受攻击的API发送精心构造的HTTP请求

• 攻击效果
  ：窃取敏感信息、修改系统配置、强制节点重启

两个漏洞都要求攻击者具备有效的只读管理凭证，这也强调了保护此类账户的重要性。

受影响的产品以及解决方案

这些漏洞影响思科ISE和思科ISE被动身份连接器（ISE-PIC），无论设备配置如何。具体受影响的软件版本包括3.0、3.1、3.2和3.3，已确认3.4版本不受影响。
– 3.1版本
：在3.1P10版本中修复

• 3.2版本
  ：在3.2P7版本中修复

• 3.3版本
  ：在3.3P4版本中修复

思科已经发布了免费的软件更新以解决这些漏洞，由于没有可用的临时解决方案，建议所有受影响用户立即升级系统，以降低潜在利用风险。

【
FreeBuf粉丝交流群招新啦！

在这里，拓宽网安边界

甲方安全建设干货；

乙方最新技术理念；

全球最新的网络安全资讯；

群内不定期开启各种抽奖活动；

FreeBuf盲盒、大象公仔……

扫码添加小蜜蜂微信回复「加群」，申请加入群聊】