| CVE編號 | CVE-2025-20124,CVE-2025-20125 |
|---|---|
| 影響產品 | Cisco ISE |
| 解決辦法 | 更新 Cisco ISE 3.1P10 (含)之後版本 更新 Cisco ISE 3.2P7 (含)之後版本 更新 Cisco ISE 3.3P4 (含)之後版本 另外,Cisco ISE 3.0 請遷移至固定版本 |
| 張貼日 | 2025-02-06 |
| 上稿單位 | TWCERT/CC |
- 內容說明:
Cisco(思科)旗下身分識別服務引擎(Identity Services Engine,ISE)是一款基於身分的安全管理平台,可從網路、使用者設備收集資訊,並在網路基礎設施中實施策略和制定監管決策。前日Cisco發布重大資安漏洞公告(CVE-2025-20124,CVSS:9.9和CVE-2025-20125,CVSS:9.1)並釋出更新版本。
【CVE-2025-20124,CVSS:9.9】
此漏洞為Cisco ISE API 存在不安全的Java反序列化漏洞,允許經過身分驗證的遠端攻擊者,在受影響的設備上,可以root身分執行任意命令。
【CVE-2025-20125,CVSS:9.1】
存在Cisco ISE API 繞過授權漏洞,允許經過驗證的遠端攻擊者可利用有效的唯讀憑證獲取敏感資料、更改節點配置,並重新啟動節點。
- 影響平台:
Cisco ISE 3.0 版本
Cisco ISE 3.1 版本
Cisco ISE 3.2 版本
Cisco ISE 3.3 版本