思科近日发布公告警告其身份服务引擎ISE和被动身份连接器ISE-pic存在两个关键、未经身份验证的远程代码执行RCE漏洞。这些漏洞可在无需任何身份验证或用户交互的情况下彻底破坏目标设备并实现完全远程接管。Cisco ISE Release 2.6 Administrator Guide - Basic Setup [Support] - Cisco思科身份服务引擎ISE是企业级网络安全策略管理和访问控制平台主要用于网络访问控制NAC、身份管理和策略实施是大型企业、政府机构、大学及服务提供商网络核心的重要组件。What Is Network Access Control (NAC) ? | Fortinet漏洞详情两个漏洞均被评为最高严重程度CVSS评分10.0CVE-2025-20281影响ISE及ISE-pic的3.4和3.3版本根本原因是特定暴露API对用户输入验证不足。攻击者可发送特制API请求以root权限执行任意操作系统命令。CVE-2025-20282仅影响3.4版本源于内部API文件验证不佳允许攻击者将任意文件上传至特权目录并以root权限执行。What is RCE vulnerability? Remote code execution meaning思科表示目前尚未发现这两个漏洞的主动利用案例但强烈建议立即优先修复。由于没有临时缓解方案用户必须通过官方安全更新进行修补。修复建议升级至3.3 Patch 6ise-apply-CSCwo99449_3.3.0.430_patch4及以上版本升级至3.4 Patch 2ise-apply-CSCwo99449_3.4.0.608_patch1及以上版本。I Cant Keep Up with All These Cisco Security Advisories: Do I Have to Upgrade? - Cisco Blogs另一起中等严重漏洞思科同时发布了CVE-2025-20264身份验证绕过漏洞公告。该漏洞影响所有版本的ISE直至3.4 Patch源于对通过外部身份提供程序集成的SAML SSO创建用户的授权实施不足。拥有有效SSO凭证的攻击者可通过特定命令序列修改系统设置或重启系统。修复版本为3.4 Patch 2和3.3 Patch 53.2版本的修复补丁Patch 8计划于2025年11月发布。CWE - CWE-288: Authentication Bypass Using an Alternate Path or Channel (4.19.1)安全提醒企业用户应立即检查ISE版本并尽快应用补丁避免潜在的网络核心设备被远程控制风险。建议持续关注思科官方安全公告及时更新系统。