去年思科公布并修补了多项网络访问控制（NAC）平台Identity Services Engine（ISE）的安全漏洞，其中多个CVSS风险评分接近或达到满分10分，危险程度极高，引发外界高度关注。如今，该公司又公布了一个评分为4.9分的中等风险漏洞，并指出已存在概念验证工具（PoC），消息一出，各大安全媒体迅速跟进报道。

1月7日，思科发布安全公告，披露CVE-2026-20029漏洞。该漏洞存在于ISE及ISE被动身份连接器（ISE-PIC）的授权功能中，攻击者在通过身份验证并拥有管理员权限的前提下，可远程触发漏洞，读取敏感信息，CVSS风险评分为4.9分。思科特别指出，目前已公开了该漏洞的概念验证代码，攻击者可将其用于实际攻击。该漏洞影响3.4及以下版本的ISE与ISE-PIC，思科已发布3.2 Patch 8、3.3 Patch 8和3.4 Patch 4修复补丁，3.5版本用户不受影响。

该漏洞的成因在于ISE与ISE-PIC的网页管理界面在处理XML文件时存在缺陷，攻击者可上传恶意文件触发漏洞，成功利用后，可从操作系统底层读取任意文件，包括管理员也无法访问的敏感数据。但利用该漏洞的前提是，攻击者必须事先获取有效的管理员凭据。

由于目前没有其他替代缓解措施，思科呼吁用户尽快升级至新版软件。回顾2025年，该公司于6月初修复了风险评分为9.9的CVE-2025-20286漏洞，随后在6月底至7月初，又修复了风险评分为满分的CVE-2025-20281、CVE-2025-20282和CVE-2025-20337漏洞。Amazon威胁情报团队发现，国家级黑客在思科公布CVE-2025-20337之前，已将其用于实际攻击。