0x00 漏洞编号

• CVE-2023-20198

0x01 危险等级

• 高危
  

0x02 漏洞概述

Cisco IOS XE Web UI是一种基于GUI的嵌入式系统管理工具，能够提供系统配置、简化系统部署和可管理性以及增强用户体验。它带有默认映像，因此无需在系统上启用任何内容或安装任何许可证。Web UI可用于构建配置以及监控系统和排除系统故障，而无需CLI专业知识。

0x03 漏洞详情

CVE-2023-20198

漏洞类型：权限提升

影响：设备完全控制

简述：Cisco IOS XE软件Web UI中存在权限提升漏洞，当Cisco IOS XE软件的web UI暴露在互联网上或不可信的网络中时，未经身份验证的远程攻击者可以利用该漏洞在受影响的系统上创建具有15级访问权限的账户，进而可以利用该帐户来控制受影响的系统。Cisco IOS系统上的权限级别15基本上意味着可以完全访问所有命令，包括重新加载系统和进行配置更改的命令。

0x04 影响版本

• 启用Web UI的Cisco IOS XE设备

0x05 修复建议

目前官方暂未发布漏洞修复版本，建议用户关注官网动态：

https://www.cisco.com/

原文始发于微信公众号（浅安安全）：漏洞预警 | Cisco IOS XE权限提升漏洞