思科ISE紧急安全警报：两个CVSS 10.0级RCE漏洞可实现未授权远程完全接管

思科近日发布公告，警告其身份服务引擎（ISE）和被动身份连接器（ISE-pic）存在两个关键、未经身份验证的远程代码执行（RCE）漏洞。这些漏洞可在无需任何身份验证或用户交互的情况下，彻底破坏目标设备并实现完全远程接管。

Cisco ISE Release 2.6 Administrator Guide - Basic Setup [Support] - Cisco

思科身份服务引擎（ISE）是企业级网络安全策略管理和访问控制平台，主要用于网络访问控制（NAC）、身份管理和策略实施，是大型企业、政府机构、大学及服务提供商网络核心的重要组件。

What Is Network Access Control (NAC) ? | Fortinet

漏洞详情两个漏洞均被评为最高严重程度（CVSS评分：10.0）：

• CVE-2025-20281：影响ISE及ISE-pic的3.4和3.3版本，根本原因是特定暴露API对用户输入验证不足。攻击者可发送特制API请求，以root权限执行任意操作系统命令。
• CVE-2025-20282：仅影响3.4版本，源于内部API文件验证不佳，允许攻击者将任意文件上传至特权目录并以root权限执行。

What is RCE vulnerability? Remote code execution meaning

思科表示，目前尚未发现这两个漏洞的主动利用案例，但强烈建议立即优先修复。由于没有临时缓解方案，用户必须通过官方安全更新进行修补。

修复建议

• 升级至3.3 Patch 6（ise-apply-CSCwo99449_3.3.0.430_patch4）及以上版本；
• 升级至3.4 Patch 2（ise-apply-CSCwo99449_3.4.0.608_patch1）及以上版本。

I Can't Keep Up with All These Cisco Security Advisories: Do I Have to Upgrade? - Cisco Blogs

另一起中等严重漏洞思科同时发布了CVE-2025-20264身份验证绕过漏洞公告。该漏洞影响所有版本的ISE（直至3.4 Patch），源于对通过外部身份提供程序集成的SAML SSO创建用户的授权实施不足。拥有有效SSO凭证的攻击者可通过特定命令序列修改系统设置或重启系统。

修复版本为3.4 Patch 2和3.3 Patch 5；3.2版本的修复补丁（Patch 8）计划于2025年11月发布。

CWE - CWE-288: Authentication Bypass Using an Alternate Path or Channel (4.19.1)

安全提醒：企业用户应立即检查ISE版本并尽快应用补丁，避免潜在的网络核心设备被远程控制风险。建议持续关注思科官方安全公告，及时更新系统。