CVE-2025-20282 — 神龙十问 AI 深度分析摘要
CVSS 10.0 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:文件验证不足导致任意文件上传与执行。 💥 **后果**:远程代码执行 (RCE),系统完全沦陷。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-269 (权限提升)。 📉 **缺陷**:对上传文件的**验证机制缺失**,未校验文件内容或来源。
Q3影响谁?(版本/组件)
🏢 **厂商**:Cisco (思科)。 📦 **产品**:Cisco ISE (身份服务引擎) 及 ISE-PIC 组件。
Q4黑客能干啥?(权限/数据)
👑 **权限**:最高权限 (System/Root)。 📂 **数据**:可读取/修改所有敏感数据,控制整个零信任网络架构。
Q5利用门槛高吗?(认证/配置)
🚪 **认证**:**无需认证** (Unauthenticated)。 🎯 **门槛**:极低,攻击者可直接访问 `/admin/files-upload/` 接口。
Q6有现成Exp吗?(PoC/在野利用)
💻 **PoC**:有现成 Python 脚本 (GitHub: skadevare)。 🔥 **利用**:通过上传修改后的 `isehourlycron.sh` 实现持久化 RCE。
Q7怎么自查?(特征/扫描)
🔎 **检测**:扫描是否存在未认证的 `/admin/files-upload/` 接口。 📊 **监控**:关注异常的文件上传行为及 cron 任务变更。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方**:Cisco 已发布安全公告 (cisco-sa-ise-unauth-rce)。 🔧 **修复**:建议立即升级到修复后的版本。
Q9没补丁咋办?(临时规避)
⚠️ **规避**:若无补丁,需**严格限制**对 ISE 管理接口的网络访问。 🚫 **隔离**:禁止公网直接访问 `/admin/` 相关路径。
Q10急不急?(优先级建议)
🔥 **优先级**:**极高 (Critical)**。 ⚡ **建议**:CVSS 满分附近,无需认证即可 RCE,**立即修补**!