思科警告ISE再现高危RCE漏洞，敦促立即修补

新闻摘要
思科发布最高严重性安全公告，披露其身份服务引擎（ISE）及ISE被动身份连接器（ISE-PIC）中存在未认证远程代码执行（RCE）漏洞。该漏洞源于公共API输入验证不足，允许攻击者以root权限执行任意代码，CVSS评分达10分。

漏洞技术细节

• 漏洞编号：CVE-2025-20337
• 影响版本：ISE及ISE-PIC 3.3和3.4版本（3.2及之前版本不受影响）
• 攻击向量：通过特制API请求实现root级RCE，无需身份凭证
• 根本原因：特定API请求净化不完整，与上月修复的CVE-2025-20281漏洞影响同一API

修复与风险警示

思科已发布针对性补丁（ISE 3.4 Patch 2和3.3 Patch 7），并强调此前为CVE-2025-20281安装的热补丁无法修复此漏洞。无可用临时解决方案，必须升级至修复版本。

安全专家指出：

• 生成式AI降低了漏洞利用门槛，攻击者可快速定位暴露系统并构造恶意请求
• ISE位于校园网络信任边界，一旦被攻破可重写访问策略、跨VLAN移动终端
• 漏洞API常可从内部地址段（甚至访客Wi-Fi）访问，修补需中断业务维护

行业响应建议

Cequence Security首席信息安全官Randolph Barr建议：

• 采用专业API安全解决方案实时检测异常活动
• 实施端点风险评分机制，阻断自动化扫描与载荷投递
• 企业需正视分布式环境中修补延迟问题，高可用性依赖常导致修复滞后

背景延伸
这是思科本月披露的第二个最高严重性漏洞。此前，其通信设备因DevOps团队隐藏硬编码凭证而出现root访问漏洞。安全社区观察到，CVE-2025-20281漏洞已在数天内出现公开概念验证利用和扫描活动，表明主动攻击可能性极高。