【安全资讯】思科警告其身份服务引擎漏洞已出现公开利用代码

概要：

近日，思科公司紧急修补了其身份服务引擎（ISE）网络访问控制解决方案中的一个高危漏洞，并警告称该漏洞的公开概念验证利用代码已在网上出现。该漏洞允许拥有管理员权限的攻击者读取底层操作系统的任意文件，可能泄露包括敏感数据在内的关键信息，对依赖思科ISE实施零信任架构的企业网络构成严重威胁。

主要内容：

该漏洞被追踪为CVE-2026-20029，影响思科身份服务引擎（ISE）及思科ISE被动身份连接器（ISE-PIC），与设备配置无关。漏洞的根本原因在于思科ISE和ISE-PIC基于Web的管理界面在处理XML时存在解析不当问题。攻击者可以通过向应用程序上传恶意文件来利用此漏洞。

成功利用后，攻击者能够读取底层操作系统上的任意文件，这些文件可能包含本应即使管理员也无法访问的敏感数据。思科强调，要利用此漏洞，攻击者必须拥有有效的管理员凭据。尽管思科产品安全事件响应团队（PSIRT）尚未发现该漏洞在野被积极利用的证据，但公开的PoC代码大大增加了攻击风险。

思科已发布修复版本，并强烈建议客户升级到已修复的软件，以避免未来暴露并彻底解决此漏洞。思科认为任何变通方案和缓解措施都只是临时解决方案。此次事件凸显了网络访问控制核心组件中漏洞的严重性，可能对全球众多企业和政府机构的网络安全态势造成广泛影响。