思科本周发布安全更新,修补身分服务引擎(Identity Service Engine,ISE)上高度风险的漏洞。
编号CVE-2025-20286的漏洞一旦被成功滥用,骇客就可存取在AWS、Azure或OCI等云端平台的Cisco ISE执行个体,进而取得敏感资料、执行部份管理员运作、修改系统配置或扰乱受害系统内的服务。
思科说明,这项漏洞起于思科ISE部署在云端平台时凭证产出不当,导致多个不同ISE执行个体可共用同一组凭证,只要这些环境的ISE软体版本和云端平台一样。攻击者可以从云端上的Cisco ISE执行个体撷取出用户凭证,再以不安全的传输埠存取另一云端平台上的ISE执行个体,进而执行恶意存取行为。
CVE-2025-20286属高风险漏洞,CVSS 3.1风险值高达9.9。
不过思科表示,只有主管理节点部署在云端时,Cisco ISE才会受此漏洞影响,若主管理节点是部署在本地资料中心,Cisco ISE就不受影响。
思科已释出新版软体更新修补漏洞,且没有替代解决方案。但思科建议管理员可以将存取云端ISE的来源IP,限制为平台安全群组或是管理员。