思科修補網路存取控制平臺ISE重大漏洞,未更新可能導致遠端執行任意程式碼攻擊
漏洞概要
思科(Cisco)近期發布安全公告,針對其網路存取控制平臺Identity Services Engine(ISE)修補兩個重大安全漏洞,皆源自輸入驗證不足的缺陷。
嚴重性與影響範圍
- 其中一個漏洞為CVE-2026-20147,CVSS嚴重性評分達9.9分,屬於遠端執行程式碼類型弱點,影響ISE當前所有主流版本。
- 攻擊者可利用此類漏洞,在特定條件下取得系統控制權,並執行未授權的指令。
- 另一個漏洞涉及路徑穿越(Path Traversal)與指令注入(Command Injection),可能導致遠端程式碼執行與檔案讀取。
發現與通報
這些漏洞由TrendAI Research研究人員發現並通報,思科已確認其存在,並主動發布修補資訊。
攻擊風險
攻擊者若未對ISE進行更新,可能透過未經身份驗證的HTTP請求,傳送特製指令至系統,進而執行任意命令或讀取敏感檔案,甚至提升至root權限。