思科(Cisco)近日发布紧急安全公告,修复了身份服务引擎(Identity Services Engine, ISE)及ISE-PIC(Passive Identity Connector)中的一个CVSS 10分高危漏洞,编号CVE-2025-20337。该漏洞允许未经身份验证的远程攻击者通过构造恶意API请求,在目标系统上以root权限执行任意代码,完全控制设备。
01 漏洞详情 根据思科技术公告,CVE-2025-20337源于ISE特定API接口对用户输入的验证机制存在严重缺陷。攻击者无需任何凭证,仅需向目标设备发送特制HTTP请求,即可绕过所有认证控制,获得系统最高权限。 02 影响范围 Cisco ISE 3.3(未打Patch 7) Cisco ISE 3.4(未打Patch 2) ISE-PIC对应版本 3.2及更早版本不受影响 03 漏洞危害 无需认证:攻击者无需任何有效凭证即可利用该漏洞25。 完全控制:成功利用后,攻击者可执行任意命令,包括安装后门、窃取数据、横向渗透内网等79。 类似漏洞历史:该漏洞与6月修复的CVE-2025-20281(同样CVSS 10分)类似,均因API输入验证不足导致 04 紧急修复方案 思科已发布针对CVE-2025-20337的补丁包(版本号:ise-apply-CSCwo99449_3.3.0.430_patch7-SPA.tar.gz),企业需在24小时内完成升级:升级路径:登录思科软件中心(Cisco Software Center),下载对应版本的补丁包。通过SSH或控制台上传补丁至ISE设备,执行安装命令(详见官方指南)。临时缓解措施(若无法立即升级):限制ISE设备的公网暴露,仅允许内网可信IP访问管理接口。启用网络级入侵检测系统(IDS),监控异常API请求。
