聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
思科修复了位于身份服务引擎 (ISE) 网络访问控制解决方案中的一个漏洞CVE-2026-20029。目前已出现该漏洞的公开利用代码,可被攻击者以管理员权限利用。
企业管理员在执行零信任架构时,使用思科ISE来管理端点、用户和设备对网络资源的访问权限。该漏洞影响任何配置下的思科ISE和思科ISE-PIC产品,拥有高权限的远程攻击者可利用该漏洞访问未修复设备上的敏感信息。思科表示,“该漏洞是因为思科ISE和思科ISE-PIC的web管理接口处理的XML解析不当造成的。攻击者可通过将恶意文件上传到应用程序的方式利用该漏洞。成功利用可导致攻击者读取底层操作系统中的任意文件,可能包括甚至连管理员也不应该访问的敏感数据。要利用该漏洞,攻击者必须具有合法的管理员凭据。”
虽然思科产品安全事件响应团队 (PSIRT) 并未发现该漏洞已遭活跃利用的情况,但提醒称目前网络已出现 PoC 利用代码。
思科认为“任何应变措施和缓解措施(如适用)均为临时解决方案”,并表示“强烈建议客户升级至已修复软件版本”,“避免未来出现暴露风险”,彻底修复该漏洞。受影响版本及修复版本如下表所示:
Cisco ISE或ISE-PIC版本 | 已修复版本 |
3.2之前版本 | 升级至已修复版本 |
3.2 | 3.2 Patch 8 |
3.3 | 3.3 Patch 8 |
3.4 | 3.4 Patch 4 |
3.5 | 不受影响 |
本周三,思科还修复了多个 IOS XE 漏洞,它们可导致未经身份验证的远程攻击者重启 Snort 3 检测引擎触发拒绝服务或者获取 Snort 数据流中的敏感信息。不过思科并未发现这些漏洞遭在野利用的证据。
11月,亚马逊公司的威胁情报团队提醒称,攻击者正在利用思科 ISE 满分漏洞CVE-2025-20337部署自定义恶意软件。思科在7月份将其修复,当时表示该漏洞可导致未认证攻击者执行任意代码或者在易受攻击设备上获得根权限。在接下来的两周,思科更新安全公告提到,该漏洞已遭活跃利用,报送该漏洞的研究人员 Bobby Gould 也发布了 PoC 利用代码。
12月份,思科还提醒称CVE-2025-20393也遭利用。思科建议在该漏洞的安全更新发布前,限制对可信主机的连接、限制互联网访问权限并部署防火墙过滤流量,以便保护并限制对易受攻击设备的访问权限。
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
思科修复 Contact Center Appliance 中的多个严重漏洞
速修复!思科ASA 两个0day漏洞已遭利用,列入 CISA KEV 清单
思科修复影响路由器和交换机的 0day 漏洞
思科 Nexus 交换机中存在高危DoS 漏洞
思科提醒注意Firewall 管理中心满分漏洞
原文链接
https://www.bleepingcomputer.com/news/security/cisco-warns-of-identity-service-engine-flaw-with-exploit-code/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
)
