聚焦源代码安全网罗国内外最新资讯编译代码卫士思科发布紧急安全公告提醒用户称其 ISE 和 ISE-IPC 产品中存在多个漏洞可导致经过身份认证的远程攻击者在受影响设备上执行任意命令。这些漏洞还可能导致路径遍历攻击。安全公告提到了两个独立漏洞其中较为严重的是由对用户所提供输入的验证不充分造成的远程代码执行漏洞CVE-2026-20147CVSS 9.9。具有有效管理员凭据的攻击者可向目标设备发送特殊构造的HTTP请求利用该漏洞。成功攻击可导致攻击者获得对底层操作系统的用户级访问权限导致攻击者提权至 root。在单个节点的 ISE 部署中利用该漏洞可导致该节点崩溃触发拒绝服务条件。未经身份认证的端点只有在系统完全恢复后才能访问网络。第二个漏洞CVE-2026-20148CVSS 4.9是一个路径遍历漏洞需要拥有有效管理员凭据才能利用由输入验证不当造成。攻击者可发送构造的HTTP请求执行路径遍历攻击直接从底层操作系统读取敏感的任意文件。思科证实称并不存在应变措施督促管理员立即升级至已修复版本。根据标准的漏洞报告格式系统管理员需按照以下指南执行必要的安全更新。以下修复版本适用于受影响的思科 ISE 和 ISE-PIC 发行版发行版本3.1: 迁移至受支持的已修复版本。发行版本 3.1: 升级至3.1 Patch 11.发行版本 3.2: 升级至 3.2 Patch 10.发行版本 3.3: 升级至 3.3 Patch 11.发行版本 3.4: 升级至3.4 Patch 6.发行版本 3.5: 升级至 3.5 Patch 3.管理员应当注意思科ISE-IPC 发布版本3.4是最终的受支持版本因为该产品已达生命周期。这些漏洞由思科 TrendAI Research 团队的研究员 Jonathan Lein 发现并报送。思科产品安全事件响应团队提到并未发现漏洞遭公开披露或在野活跃利用。开源卫士试用地址https://oss.qianxin.com/#/login代码卫士试用地址https://sast.qianxin.com/#/login推荐阅读思科 IMC 中存在严重的认证绕过漏洞可用于获取管理员权限思科提醒注意 ISE 中的满分 RCE 漏洞思科提醒注意严重的 ISE 和 CCP 漏洞思科ISE严重漏洞导致攻击者以root权限运行命令原文链接https://thehackernews.com/2026/04/new-php-composer-flaws-enable-arbitrary.html题图Pixabay License本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或 赞” 吧~