思科公司披露了其身份服务引擎（ISE）软件中的两个关键漏洞，CVE-2025-20124和CVE-2025-20125，CVSS评分分别为9.9和9.1，严重性评级极高。这两个漏洞可能允许已认证的攻击者执行以下操作：远程任意命令执行、系统权限提升以及配置参数篡改。

截至目前，思科产品安全事件响应团队（PSIRT）尚未发现这些漏洞被公开利用或恶意使用的证据。但这些关键漏洞的发现进一步强调了，在企业环境中保持软件更新以及保护管理权限凭证的重要性。

漏洞技术细节

1. CVE-2025-20124 反序列化漏洞

• 成因：API 接口对 Java 字节流反序列化处理不当
• 攻击条件：攻击者需持有有效只读管理员凭证
• 攻击方式：通过 API 发送恶意序列化 Java 对象
• 影响：获得 root 权限执行任意命令，从而可能完全控制整个设备

2. CVE-2025-20125 权限绕过漏洞

• 成因：API 授权机制缺陷 + 用户输入验证不足
• 攻击方式：向易受攻击的API发送精心构造的HTTP请求
• 攻击效果：窃取敏感信息、修改系统配置、强制节点重启

两个漏洞都要求攻击者具备有效的只读管理凭证，这也强调了保护此类账户的重要性。

受影响的产品以及解决方案

这些漏洞影响思科ISE和思科ISE被动身份连接器（ISE-PIC），无论设备配置如何。具体受影响的软件版本包括3.0、3.1、3.2和3.3，已确认3.4版本不受影响。

• 3.1版本：在3.1P10版本中修复
• 3.2版本：在3.2P7版本中修复
• 3.3版本：在3.3P4版本中修复

思科已经发布了免费的软件更新以解决这些漏洞，由于没有可用的临时解决方案，思科建议所有受影响用户立即升级系统，以降低潜在利用风险。

参考来源：

https://cybersecuritynews.com/cisco-ise-vulnerabilities-arbitrary-command/