思科发布了一份公告，对影响思科身份服务引擎（ISE）和被动身份连接器（ISE- pic）的两个关键、未经身份验证的远程代码执行（RCE）漏洞进行了告警。

根据 CVE-2025-20281 和 CVE-2025-20282 跟踪的漏洞被评为最大严重程度（CVSS 评分：10.0）。第一个影响 ISE 和 ISE- pic 版本 3.4 和 3.3，而第二个只影响 3.4 版本。

CVE-2025-20281 的根本原因是对特定暴露的 API 中用户提供的输入验证不足。这允许未经身份验证的远程攻击者发送特制的 API 请求，以 root 用户的身份执行任意操作系统命令。

第二个问题，CVE-2025-20282，是由于内部 API 中的文件验证不佳导致的，允许将文件写入特权目录。该漏洞允许未经身份验证的远程攻击者将任意文件上传到目标系统，并以 root 权限执行它们。

思科身份服务引擎（ISE）是一个网络安全策略管理和访问控制平台，用于组织管理其网络连接，作为网络访问控制（NAC）、身份管理和策略实施工具。该产品通常由大型企业、政府组织、大学和服务提供商使用，位于企业网络的核心。

此次影响它的两个漏洞可以在没有任何身份验证或用户交互的情况下完全破坏和完全远程接管目标设备。

思科在公告中指出，它不知道有任何针对这两个漏洞的主动利用案例，但应该优先安装新的更新。建议用户升级到 3.3 Patch 6 （ise-apply-CSCwo99449_3.3.0.430_patch4）和 3.4 Patch 2 （ise-apply-CSCwo99449_3.4.0.608_patch1）及以上版本。没有提供缓解这些漏洞的解决方案，因此建议使用安全更新。

思科还发布了一份关于中等严重性身份验证绕过漏洞的单独公告，追踪为 CVE-2025-20264，该漏洞也会影响 ISE。

该漏洞是由于对通过与外部身份提供程序集成的 SAML SSO 创建的用户的授权实施不足造成的。具有有效 SSO 身份验证凭证的攻击者可以发送特定的命令序列来修改系统设置或执行系统重启。

CVE-2025-20264 影响所有版本的 ISE，直到 3.4Patch。3.4 Patch 2 和 3.3 Patch 5 提供了修复程序。供应商承诺通过 3.2 Patch 8 修复该漏洞，该补丁计划于 2025 年 11 月发布，以解决 3.2 版本的问题。