湖南轻山信息

2025年(nian)6月27日，思科緊急發布安全公告，披露其核心身份(fen)認證平臺——Cisco Identity Services Engine（ISE）存在(zai)兩處高危遠(yuan)程(cheng)代碼執行（RCE）漏洞，CVSS評分雙雙達到滿分10.0！攻(gong)擊(ji)者無(wu)需(xu)認證即可遠(yuan)程(cheng)控(kong)制設(she)備，直(zhi)接以(yi)root權限執行任意代碼，企業網(wang)絡瞬(shun)間淪為(wei)“透(tou)明玻璃屋”。

漏(lou)洞詳情(qing)：兩枚(mei)“核彈級”漏(lou)洞的致命殺傷

1、CVE-2025-20281：API接(jie)口的“無鎖之門”

影響版(ban)本：ISE/ISE-PIC 3.3及以上版(ban)本
漏洞(dong)原理：攻擊者通過發送特制API請求，繞過身份驗證，直接在底層操(cao)作(zuo)系統執行(xing)(xing)命令。漏洞(dong)源于輸(shu)入(ru)驗證缺失，相當(dang)于給攻擊者發了一張“萬能(neng)通行(xing)(xing)證”。
攻擊(ji)場景：攻擊(ji)者(zhe)僅需網絡(luo)訪(fang)問權限，即可植(zhi)入惡(e)意代碼、竊取敏感數據，甚至將企業(ye)網絡(luo)變為(wei)跳(tiao)板，橫向滲透(tou)至其他系統。

2、CVE-20282：文件上傳(chuan)的“致命陷阱(jing)”

影(ying)響版本(ben)：ISE/ISE-PIC 3.4版本(ben)
漏洞原理(li)：文件上傳(chuan)功(gong)能(neng)缺乏驗證，攻擊者可上傳(chuan)惡意(yi)文件至特權目錄，并以root權限執(zhi)行。這(zhe)相(xiang)當于(yu)將企業(ye)核心設備的“鑰匙”交給了黑客(ke)。
攻擊(ji)場(chang)景：攻擊(ji)者上傳后門程序(xu)，長期潛伏監(jian)控，或直接篡改配(pei)置(zhi)，導致認證系(xi)統崩潰(kui)，引發(fa)業(ye)務中斷。