聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
思科发布紧急安全公告,提醒用户称其 ISE 和 ISE-IPC 产品中存在多个漏洞,可导致经过身份认证的远程攻击者在受影响设备上执行任意命令。这些漏洞还可能导致路径遍历攻击。
安全公告提到了两个独立漏洞,其中较为严重的是由对用户所提供输入的验证不充分造成的远程代码执行漏洞CVE-2026-20147(CVSS 9.9)。具有有效管理员凭据的攻击者,可向目标设备发送特殊构造的HTTP请求,利用该漏洞。成功攻击可导致攻击者获得对底层操作系统的用户级访问权限,导致攻击者提权至 root。
在单个节点的 ISE 部署中,利用该漏洞可导致该节点崩溃,触发拒绝服务条件。未经身份认证的端点只有在系统完全恢复后才能访问网络。
第二个漏洞CVE-2026-20148(CVSS 4.9),是一个路径遍历漏洞,需要拥有有效管理员凭据才能利用,由输入验证不当造成。攻击者可发送构造的HTTP请求,执行路径遍历攻击,直接从底层操作系统读取敏感的任意文件。
思科证实称并不存在应变措施,督促管理员立即升级至已修复版本。根据标准的漏洞报告格式,系统管理员需按照以下指南执行必要的安全更新。以下修复版本适用于受影响的思科 ISE 和 ISE-PIC 发行版:
发行版本3.1: 迁移至受支持的已修复版本。
发行版本 3.1: 升级至3.1 Patch 11.
发行版本 3.2: 升级至 3.2 Patch 10.
发行版本 3.3: 升级至 3.3 Patch 11.
发行版本 3.4: 升级至3.4 Patch 6.
发行版本 3.5: 升级至 3.5 Patch 3.
管理员应当注意,思科ISE-IPC 发布版本3.4是最终的受支持版本,因为该产品已达生命周期。这些漏洞由思科 TrendAI Research 团队的研究员 Jonathan Lein 发现并报送。思科产品安全事件响应团队提到并未发现漏洞遭公开披露或在野活跃利用。
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
思科 IMC 中存在严重的认证绕过漏洞,可用于获取管理员权限
思科提醒注意 ISE 中的满分 RCE 漏洞
思科提醒注意严重的 ISE 和 CCP 漏洞
思科ISE严重漏洞导致攻击者以root权限运行命令
原文链接
https://thehackernews.com/2026/04/new-php-composer-flaws-enable-arbitrary.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
