思科警告身份服务引擎存在严重性RCE漏洞

思科昨日发布公告，警告两个影响思科身份服务引擎(ISE)和被动身份连接器 (ISE-PIC)的严重未经身份验证的远程代码执行(RCE)漏洞。CVE-2025-20281 影响ISE和ISE-PIC 3.4和3.3版本，而 CVE-2025-20282 仅影响3.4版本。CVE-2025-20281的根本缺陷是特定公开API对用户输入的验证不足。这允许未经身份验证的远程攻击者发送特制的 API 请求，以root用户身份执行任意操作系统命令。漏洞CVE-2025-20282是由于内部API中的文件验证机制不完善导致的，允许文件写入特权目录。