思科(Cisco)周三(7/17)紧急修补Cisco Smart Software Manager On-Prem(SSM On-Prem)上的一个安全漏洞,此一编号为CVE-2024-20419的漏洞将允许未经身分验证的骇客,自远端变更任何SSM On-Prem用户的密码,包括具备管理权限的用户在内。
SSM On-Prem为思科的本地端部署解决方案,主要用来管理及监控企业内部的思科授权,此一漏洞影响Cisco SSM On-Prem与SSM Satellite。根据思科的说明,这两个是同样的产品,只是7.0以前称为SSM Satellite,自7.0起更名为Cisco SSM On-Prem。
根据思科的说明,该漏洞源自于密码变更程序实施不当,使得骇客只要传送一个特制的HTTP请求至受害装置上,便能触发此一漏洞,允许骇客以受骇用户的权限来存取网页介面或API,其CVSS风险评分高达10。
现阶段思科尚未收到CVE-2024-20419漏洞遭到滥用的报告,但强调除了部署修补程式之外,并无其它变通办法。