原文链接: https://mp.weixin.qq.com/s?__biz=Mzg3OTc0NDcyNQ==&mid=2247494291&idx=1&sn=d82033fb3b45f8ee834fa7a4aecc2221

思科修复身份服务引擎中CVSS 10分高危漏洞CVE-2025-20337

鹏鹏同学 黑猫安全 2025-07-17 23:01

思科修复身份服务引擎高危漏洞CVE-2025-20337（CVSS满分10分）
思科公司近日修复了身份服务引擎（ISE）及被动身份连接器（ISE-PIC）中的关键漏洞CVE-2025-20337（CVSS评分10分）。攻击者可利用该漏洞以root权限在底层操作系统执行任意代码。

据这家科技巨头发布的报告称：”思科身份服务引擎（ISE）及ISE被动身份连接器（ISE-PIC）存在的多个漏洞，可能允许未经身份验证的远程攻击者以root用户身份在底层操作系统执行命令。”

CVE-2025-20337漏洞与该公司六月份修复的CVE-2025-20281（CVSS评分10分）类似，后者影响思科ISE/ISE-PIC 3.3及以上版本。CVE-2025-20281是思科身份服务引擎/ISE-PIC中的关键缺陷，允许未经认证的远程攻击者通过存在漏洞的API以root权限执行代码。

安全公告指出：”这些漏洞（CVE-2025-20281和CVE-2025-20337）源于对用户输入验证不足。攻击者可通过提交特制API请求加以利用，成功利用将获得受影响设备的root权限。”

思科建议通过升级至修复版本解决CVE-2025-20337漏洞。若设备已运行ISE 3.4 Patch 2版本则无需操作；运行3.3 Patch 6版本的设备需升级至Patch 7。已安装热补丁ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz或ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz的系统必须升级至3.3 Patch 7或3.4 Patch 2版本，因这些补丁无法修复漏洞且已被思科官方撤回。

思科产品安全事件响应团队（PSIRT）目前未发现这些漏洞在野被利用的情况。

该漏洞CVE-2025-20337由GMO Cybersecurity研究员川根健太郎（Kentaro Kawane）通过趋势科技零日计划（Zero Day Initiative）披露。