• 發布單位:TWCERT/CC
• 更新日期:2025-02-07
• 點閱次數:2062

• 內容說明：

Cisco(思科)旗下身分識別服務引擎(Identity Services Engine，ISE)是一款基於身分的安全管理平台，可從網路、使用者設備收集資訊，並在網路基礎設施中實施策略和制定監管決策。前日Cisco發布重大資安漏洞公告(CVE-2025-20124，CVSS：9.9和CVE-2025-20125，CVSS：9.1)並釋出更新版本。

【CVE-2025-20124，CVSS：9.9】

此漏洞為Cisco ISE API 存在不安全的Java反序列化漏洞，允許經過身分驗證的遠端攻擊者，在受影響的設備上，可以root身分執行任意命令。

【CVE-2025-20125，CVSS：9.1】

存在Cisco ISE API 繞過授權漏洞，允許經過驗證的遠端攻擊者可利用有效的唯讀憑證獲取敏感資料、更改節點配置，並重新啟動節點。

• 影響平台：

Cisco ISE 3.0 版本

Cisco ISE 3.1 版本

Cisco ISE 3.2 版本

Cisco ISE 3.3 版本

• 處置建議：

更新 Cisco ISE 3.1P10 (含)之後版本

更新 Cisco ISE 3.2P7 (含)之後版本

更新 Cisco ISE 3.3P4 (含)之後版本

另外，Cisco ISE 3.0 請遷移至固定版本