近日,安全聚实验室监测到 Cisco Smart Software Manager On Prem 中存在身份验证缺陷漏洞,编号为:CVE-2024-20419,CVSS:10 此漏洞的根本原因是密码更改过程的实现存在缺陷,导致未经身份验证的远程攻击者可以篡改任何用户的密码。
Cisco Smart Software Manager On Prem(SSM On-Prem)是思科推出的软件管理解决方案,旨在帮助企业集中管理和跟踪其网络设备上的软件许可证和订阅,简化许可证管理流程、提高效率并确保合规性。该漏洞的成因在于密码更改过程的缺陷,导致未经身份验证的远程攻击者可以更改任何用户的密码。攻击者可以利用此漏洞通过发送精心构建的 HTTP 请求来实施攻击。成功利用此漏洞将允许攻击者以受感染用户的权限访问Web UI界面或API。
Cisco Smart Software Manager On Prem <= 8-202206
目前厂商已发布可更新版本,建议用户尽快更新至 Cisco Smart Software Manager On Prem 的修复版本或更高的版本:
Cisco Smart Software Manager On Prem > 8-202206
官方最新版本下载地址:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cssm-auth-sLw3uhUy#fs
1.https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cssm-auth-sLw3uhUy#fs
2.https://cve.mitre.org/cgi-bin/cisco-sa-cssm-auth-sLw3uhUy
原文始发于微信公众号(安全聚):【漏洞预警】Cisco Smart Software Manager On Prem 身份验证缺陷漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/2973592.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论