思科（Cisco）发布了一份高严重性安全公告，提醒客户注意其 Nexus 3000 和 9000 系列交换机所搭载的 NX-OS 软件中，中间系统到中间系统（Intermediate System-to-Intermediate System，IS-IS）协议功能存在一个关键漏洞。 该漏洞的通用漏洞披露编号（CVE）为CVE-2025-20241，根据 CVSS（通用漏洞评分系统）基础评分为 7.4 分。此漏洞允许未经验证的二层邻接攻击者发送构造异常的 IS-IS 数据包，导致 IS-IS 进程重启，进而可能引发设备重新加载，并造成拒绝服务（Denial-of-Service，DoS）状态。

核心要点

1. 思科 Nexus 3000/9000 系列交换机的 IS-IS 协议漏洞允许邻接攻击者发起拒绝服务攻击；
2. 目前无临时缓解方案（workaround），可通过启用 IS-IS 区域认证降低风险；
3. 需安装思科提供的免费 NX-OS 软件更新以修复漏洞。

漏洞详情

该漏洞源于 NX-OS 软件在解析入站 IS-IS 数据包时 “输入验证机制不足”。攻击者需与目标交换机处于同一广播域内，通过发送构造特殊的 IS-IS L1（Level 1，一级）或 L2（Level 2，二级）数据包即可利用此漏洞。 交换机接收到该恶意数据包后，NX-OS 软件中的 IS-IS 守护进程（daemon）可能会崩溃，进而导致整个交换机重新加载，最终破坏网络路由功能与流量转发服务。 受此漏洞影响的设备包括：

• 思科 Nexus 3000 系列交换机；
• 运行独立 NX-OS 模式的思科 Nexus 9000 系列交换机。

仅当设备至少有一个接口启用了 IS-IS 协议时，才会受到该漏洞影响。经确认，以下产品不受此漏洞影响：运行 ACI（应用中心基础设施）模式的 Nexus 9000 系列交换机、Firepower 1000/2100/4100/9300 系列设备、MDS 9000 系列存储区域网络交换机，以及 UCS Fabric Interconnect（统一计算系统结构互联）设备。 公告指出，若设备已配置 IS-IS 认证，攻击者需提供有效的认证密钥才能利用该漏洞发起攻击。

漏洞检测与风险说明

管理员可通过运行以下命令行（CLI）指令，验证设备上 IS-IS 协议的启用状态：show running-config |include isis 若命令输出中包含 “feature isis”（启用 IS-IS 功能）、“router isis name”（IS-IS 路由器配置），且至少存在一条 “ip router isis name”（接口启用 IS-IS）记录，则表明设备存在漏洞暴露风险。 如需查看当前活跃的 IS-IS 邻居设备，可使用以下命令：show isis adjacency

风险因素表

风险因素	详情描述
受影响产品	思科 Nexus 3000 系列交换机；运行独立 NX-OS 模式的思科 Nexus 9000 系列交换机
漏洞影响	IS-IS 进程重启，导致设备重新加载（引发拒绝服务）
利用前提条件	攻击者与目标设备处于二层邻接状态；目标设备接口已启用 IS-IS 协议
CVSS 3.1 评分	7.4 分（高严重性）

漏洞修复与缓解建议

目前暂无针对该漏洞的临时缓解方案，但可通过为 IS-IS 协议启用区域认证降低风险 —— 该操作要求攻击者在发送恶意数据包前完成认证，从而增加其利用漏洞的难度。思科强烈建议客户充分评估此缓解措施，确保其符合自身网络需求。 思科已发布免费的软件更新以修复该漏洞：

• 拥有有效服务合同的客户：可通过思科支持与下载门户（Cisco Support and Downloads portal）下载并安装修复版本；
• 无有效服务合同的客户：可联系思科技术支持中心（Cisco TAC），提供该安全公告的 URL 链接及设备序列号，即可获取必要的补丁程序（无需额外付费）。