思科修補網路存取控制平臺ISE資安漏洞，並表示已有概念驗證程式碼出現，恐將被用於實際攻擊

內容重點

思科在去年公開並修補多項網路存取控制平臺 Identity Services Engine（ISE）及其元件 ISE-PIC 的資安漏洞。多項漏洞的 CVSS 分數曾接近滿分，造成外界高度關注。

最新披露的一項中度風險漏洞（約 CVSS 4.9）同時指出已出現概念驗證工具（PoC），顯示此漏洞具備可被實際利用的潛在性，並引發資安媒體的跟進報導。

據報導，漏洞源於 ISE 與 ISE-PIC 的網頁管理介面在 XML 檔案處理上的缺陷，攻擊者可藉由上傳惡意檔案至應用程式觸發漏洞，一旦成功，可能取得未授權的存取，甚至達到作業系統層級的執行能力。

修補與建議

思科及相關廠商已發布修補版本，建議使用者及系統管理員盡速更新至受影響版本，並監測相關安全通報與後續修補資訊。

來源：https://www.ithome.com.tw/news/173256