思科週一更新了其關於身分識別服務引擎 (ISE) 和 ISE 被動身份連接器 (ISE-PIC) 中最近披露的一系列安全漏洞的公告，以承認存在主動利用漏洞的情況。該公司在警報中表示： “2025 年 7 月，思科 PSIRT（產品安全事件響應團隊）發現有人試圖利用其中一些漏洞。”

警報中列出的漏洞均為嚴重程度漏洞（CVSS 評分：10.0），可能允許未經身份驗證的遠端攻擊者以 root 使用者身分在底層作業系統上發出命令 -

• CVE-2025-20281 和CVE-2025-20337 - 特定 API 中的多個漏洞可能允許未經身份驗證的遠端攻擊者以 root 身分在底層作業系統上執行任意程式碼
• CVE-2025-20282 - 內部 API 中存在漏洞，可能允許未經身份驗證的遠端攻擊者將任意檔案上傳到受影響的設備，然後以 root 身分在底層作業系統上執行這些文件

前兩個缺陷是由於對使用者提供的輸入驗證不足造成的，而後一個缺陷則是由於缺乏文件驗證檢查，從而無法防止上傳的文件被放置在受影響系統的特權目錄中。

鑑於漏洞利用活躍，客戶務必盡快升級到已修復的軟體版本以修復這些漏洞。這些漏洞無需身份驗證即可遠端利用，使未修補的系統面臨預先授權遠端程式碼執行的高風險——這對於管理關鍵基礎設施或合規性驅動環境的防御者而言，是首要關注的問題。