思科修补身份服务引擎的验证绕过漏洞

思科本周发布安全更新，修补身份服务引擎（Identity Service Engine，ISE）上高度风险的漏洞。

编号CVE-2025-20286的漏洞一旦被成功滥用，黑客就可访问在AWS、Azure或OCI等云计算平台的Cisco ISE执行实例，进而取得敏感数据、执行部分管理员运行、修改系统配置或扰乱受害系统内的服务。

思科说明，这项漏洞起于思科ISE部署在云计算平台时凭证产出不当，导致多个不同ISE执行实例可共享同一组凭证，只要这些环境的ISE软件版本和云计算平台一样。攻击者可以从云计算上的Cisco ISE执行实例截取出用户凭证，再以不安全的传输端口访问另一云计算平台上的ISE执行实例，进而执行恶意访问行为。

CVE-2025-20286属高风险漏洞，CVSS 3.1风险值高达9.9。

不过思科表示，只有主管理节点部署在云计算时，Cisco ISE才会受此漏洞影响，若主管理节点是部署在本地数据中心，Cisco ISE就不受影响。

思科已发布新版软件更新修补漏洞，且没有替代解决方案。但思科建议管理员可以将访问云计算ISE的来源IP，限制为平台安全群组或是管理员。