思科上周释出安全更新,修补影响二项产品的三项软体漏洞。
修补漏洞之一位于身份服务(Cisco Identity Services Engine,ISE)RADIUS讯息处理功能CVE-2025-20152。它出于对RADIUS呼叫讯息处理不当,攻击者可传送特定验证呼叫,给使用思科ISE软体的网路装置进行验证、授权和计费(authentication, authorization and accounting,AAA)来滥用该漏洞。成功滥用可导致引发阻断服务(Denial of Service,DoS)攻击,让思科ISE不断重新载入而无法运作。CVE-2025-20152风险值达CVSS 3.1的8.6分。
这项漏洞影响启用RADIUS验证服务的ISE软体,若ISE只使用TACACS+(Terminal Access Controller Access-Control System)验证将不受影响。不过RADIUS是预设启用的。
思科在另一项安全公告中修补CVE-2025-20113及CVE-2025-20114。两者皆影响思科统合智能中心(Unified Intelligence Center,CUIC)。CUIC为思科客服中心套件的Web报告平台。
其中CVE-2025-20113是出于该产品API呼叫、或HTTP呼叫的使用者参数的伺服器端验证不足。攻击者可传送假造的API或HTTP呼叫,到CUIC系统滥用漏洞。成功利用该漏洞,可让攻击者得以升高权限以存取、修改或删除系统储存的资料,包括可能的隐私资讯。CVE-2025-20114则是出于UIC对API呼叫参数的验证不足,让攻击者可传送API呼叫滥用,以执行直接物件参照攻击,结果是水平权限扩充,攻击者得以存取装置上不同用户的资料。
CVE-2025-20113和CVE-2025-20114风险值分别CVSS 3.1的7.1和4.3。受影响产品为UIC 12.5、12.6及Unified CCX, 12.5 (1) SU3以前版本。
思科已经发布安全更新,修补上述三项漏洞。思科说未发现漏洞遭存取的证据。