思科紧急修复三个高危漏洞，涉及远程代码执行与权限提升

思科在7月17日的安全公告中表示，思科身份服务引擎（ISE）和思科ISE被动身份连接器（ISE-PIC）中存在严重漏洞，可能允许未经身份验证的远程攻击者以root权限执行命令。

思科针对这些问题发布了多个补丁，包括对特定软件版本的扩展修复。

这些漏洞由趋势科技零日计划的Bobby Gould和与趋势科技零日计划合作的Ierae GMO网络安全公司的Kentaro Kawane报告。

思科的补丁解决了三个漏洞：CVE-2025-20281、CVE-2025-20337和CVE-2025-20282。这些都是任意代码执行漏洞，但它们彼此无关，不需要一起利用即可生效。

CVE-2025-20281和CVE-2025-20337使思科ISE和思科ISE-PIC面临远程代码执行风险。攻击者可提交精心构造的API请求，利用用户提供输入验证不足的缺陷，从而获得root级权限。

CVE-2025-20282影响思科ISE和ISE-PIC 3.4版本。利用该漏洞，攻击者可将精心构造的文件上传到设备。由于缺乏文件验证，文件可能被放置在特权目录中，使攻击者能够执行任意代码或获得root访问权限。

思科表示，目前尚未发现这些漏洞被主动利用。

如果您的思科ISE运行以下版本，则已针对这些漏洞进行了修补：

思科此前发布了热补丁，但已被上述版本取代。公司还提供了应用更新的指南。

在相关的网络安全新闻中，大约一个月前，思科的安全情报部门Talos发现一个威胁行为者团体以生成式AI为诱饵分发恶意软件。攻击者使用冒充真实企业网站的虚假版本分发名为CyberLock的勒索软件，该软件会锁定受害者计算机上的特定文档。虚假网站承诺提供可下载的ChatGPT版本。

另外，在更广泛的网络安全教育推动中，思科于3月在欧盟推出了数字技能培训计划。通过思科网络学院提供的免费课程，旨在为更多人提供网络和网络安全的基本技能。