Cisco раскрыла критический недостаток в системе безопасности Smart Software Manager On-Prem, позволяющий злоумышленникам удаленно изменять пароль любого пользователя без аутентификации. Уязвимость, CVE-2024−20 419, получила максимальный рейтинг серьезности — 10.
Smart Software Manager On-Prem используется организациями для управления лицензиями Cisco локально, а не через облачные сервисы. Недостаток связан с неправильной реализацией процесса смены пароля, что позволяет злоумышленникам эксплуатировать систему, отправляя поддельные HTTP-запросы. Успешная эксплуатация предоставляет злоумышленникам доступ к веб-интерфейсу или API с нарушенными привилегиями пользователя.
Потенциальные последствия включают несанкционированный доступ к конфиденциальным данным и возможность переключения на другие подключенные устройства Cisco, что создает значительные риски безопасности для пострадавших организаций.
Источник: www.ferra.ru