Критическая уязвимость Cisco в Smart Software Manager требует немедленных мер

Компания Cisco обнародовала информацию о критической уязвимости в своей системе управления программным обеспечением Smart Software Manager On-Prem (Cisco SSM On-Prem), которая может позволить удаленным атакующим изменять пароли пользователей, включая администраторские, без предварительной аутентификации.

Уязвимость, известная под идентификатором CVE-2024-20419 и оцененная максимальным баллом CVSS 10.0, обусловлена неправильной реализацией процесса смены пароля. Злоумышленники могут использовать специально сформированные HTTP-запросы для доступа к веб-интерфейсу или API с правами компрометированного пользователя.

Уязвимость затрагивает версии Cisco SSM On-Prem от 8-202206 и ранее, но уже исправлена в версии 8-202212. Важно отметить, что версия 9 не подвержена данной уязвимости.

Cisco сообщила, что в настоящее время нет известных случаев эксплуатации уязвимости злоумышленниками, однако выпустила соответствующие обновления для минимизации рисков.