详细内容或原文请订阅后点击阅览
在攻击者滥用概念验证漏洞之前立即修补 Cisco ISE 漏洞
没有关于主动利用的报告...然而,思科修补了其身份服务引擎 (ISE) 和 ISE 被动身份连接器 (ISE-PIC) 产品中的一个错误,该错误允许具有管理员级别权限的远程攻击者访问敏感信息 - 并警告称,在线存在针对该缺陷的公开概念验证利用。
来源:The Register _恶意软件思科修补了其身份服务引擎 (ISE) 和 ISE 被动身份连接器 (ISE-PIC) 产品中的一个错误,该错误允许具有管理员级别权限的远程攻击者访问敏感信息 - 并警告称,在线存在针对该缺陷的公开概念验证漏洞。
ISE 是思科的网络访问控制和安全策略平台,公司使用它来集中管理和执行跨用户和设备的安全策略。
该错误编号为 CVE-2026-20029,CVSS 评级为中度 4.9,无论设备配置如何,它都会影响 ISE 和 ISE-PIC。这是由于 ISE 和 ISE-PIC 基于 Web 的管理界面处理的 XML 解析不当造成的。
根据周三的安全通报,“攻击者可以通过将恶意文件上传到应用程序来利用此漏洞”。 “成功的利用可能允许攻击者从底层操作系统读取任意文件,其中可能包含敏感数据,否则即使管理员也无法访问这些数据。”
思科将趋势科技零日计划的错误搜寻者 Bobby Gould 发现并报告了此漏洞归功于此。
“此漏洞确实需要身份验证,因此这是利用的第一个障碍,”ZDI 的威胁意识主管 Dustin Childs 告诉 The Register,并补充说,鉴于此漏洞的高权限要求,ZDI 预计该漏洞不会被广泛滥用。
但是,假设攻击者窃取或以其他方式获得了管理员凭据,他们“可能会泄露受影响系统上的文件内容”,Childs 补充道。
好消息是,截至目前,Cisco 和 ZDI 表示,他们尚未发现任何对该 CVE 的滥用行为。
但考虑到 POC 的存在,它提供了如何利用该错误的蓝图,我们猜测 CVE-2026-20029 的利用状态很快就会改变 - 所以现在就修补。