思科發布安全公告，提醒客戶注意其Nexus 3000和9000系列交換器 NX-OS 軟體中間系統到中間系統 (IS-IS) 特性中的一個嚴重漏洞CVE-2025-20241。
此漏洞的CVSS評分為7.4，可導致未認證的第二層（資料鏈結層）鄰近攻擊者傳送惡意建構的IS-IS封包重啟IS-IS進程，從而可能重新載入該裝置並引發拒絕服務條件。
思科 Nexus 3000和9000設備中的漏洞

該漏洞是因為在解析入站 IS-IS 資料包時對輸入驗證不充分導致的。攻擊者必須與目標交換器位於相同的廣播域中，透過傳輸一個特別建構的IS-IS L1或L2封包才能利用該漏洞。

收到該封包後，NX-OS IS-IS 守護程序可能會崩潰，隨後重新載入整個交換器、破壞網路路由和流量轉送。此條件影響思科 Nexus 3000系列交換器以及處於獨立NX-OS模式的Nexus 9000系列交換器。

只有在至少一個介面上啟用了IS-IS的設備才易受攻擊。處於ACI模式、Firepower 1000/2100/4100/9300、mds 9000和UCS Fabric Interconnects 的產品確認不受影響。安全公告提到，如果 IS-IS 認證已配置，攻擊者必須提供有效金鑰才能利用該漏洞。若要驗證 IS-IS 的狀態，管理者必須執行以下 CLI 指令：如出現特性isis、路由器isis名稱以及至少一個 ip 路由器isis 名稱條目就可確認已被揭露。若要查看即時 IS-IS 端點，可使用：
目前尚不存在臨時的應變措施，不過為IS-IS啟用區域認證，要求攻擊者在發送惡意資料包之前進行認證，可緩解風險。思科強烈建議客戶全面評估此緩解措施，以確保與其網路要求相容。思科也發布免費的軟體更新以修復漏洞。擁有有效服務合約的客戶應從思科支援和下載入口網站下載並安裝已修復版本。如無服務合同，則應聯絡思科 TAC，透過公告 URL 和產品序號，取得必要修補程式。
開源衛士試用網址：https://oss.qianxin.com/#/login
代碼衛士試用網址：https://sast.qianxin.com/#/login