思科 ThousandEyes 企业代理任意文件覆盖漏洞

CVE-2026-20161 在 Cisco ThousandEyes 企业代理中，允许经过身份验证的本地攻击者，即使权限较低，也可以覆盖受影响设备上的任意文件。 这是由于设备本地文件系统中的文件访问控制不当所致。 攻击者可以通过在本地文件系统中的特定位置放置符号链接来利用此漏洞。 成功利用可能允许攻击者破坏数据完整性，并在设备上执行恶意代码。 尽管 CVSS 评分是 5.5，但需要本地访问和低权限会限制利用范围，但它仍然构成重大风险，尤其是在本地访问没有得到充分限制的环境中。 Cisco 未提供解决方案，需要仔细评估并实施替代缓解措施。

Organizations utilizing Cisco ThousandEyes Enterprise Agent for network performance monitoring are at risk, particularly those with less stringent access controls on their agent deployments. Environments with shared hosting or legacy configurations where agent access is not adequately restricted are especially vulnerable.

• windows / supply-chain:

Get-ScheduledTask | Where-Object {$_.TaskName -like '*ThousandEyes*'} | Stop-ScheduledTask

• linux / server:

journalctl -u thousandeyes-agent | grep -i "symbolic link"

• generic web:

curl -I http://<thousandeyes_agent_ip>/cli

1. 2026-04-15Disclosure

   disclosure

1. 已保留2025-10-08
2. 发布日期2026-04-15
3. EPSS 更新日期2026-04-23

由于 Cisco 未提供直接的修复程序（fix：none），因此缓解措施侧重于通过补充安全措施来降低风险。 强烈建议限制对 ThousandEyes 企业代理的本地访问。 实施严格的访问控制，例如多因素身份验证（MFA）和最小权限原则，可以帮助防止利用。 监控文件系统是否存在可疑符号链接至关重要。 此外，审查和强化 ThousandEyes 代理配置以尽量减少攻击面是一种最佳实践。 考虑网络隔离以隔离安装了代理的设备，这可以限制潜在利用的影响。 必须对特定环境中的利用可能性和影响进行彻底的风险评估。