| 風險等級: | 高度威脅 |
| 摘 要: | 弱點通告:Cisco 發布 Smart Licensing Utility 安全性更新,建議請管理者儘速評估更新! |
| 影響系統: |
|
| 解決辦法: | 建議更新至 Cisco Smart Licensing Utility 2.3.0 (含)之後版本。 |
| 細節描述: | Cisco 近期發布更新,以解決授權管理公用程式 (Smart Licensing Utility) 的安全性弱點 (CVE-2024-20439、CVE-2024-20440),該弱點可能允許透過API取得管理員權限,進而取得相關事件記錄檔案、API的帳密資料等機敏資訊。CVE-2024-20439,靜態憑證弱點。該弱點是由於管理帳戶的未記錄靜態使用者憑證造成的,攻擊者可以藉由使用靜態憑證登入受影響的系統,成功利用可能會允許攻擊者透過應用程式的 API,以管理權限登入受影響的系統。
CVE-2024-20440,資訊洩露弱點。該弱點是由於調試日誌檔案中的詳細資訊過多造成的,攻擊者可以藉由發送偽造 HTTP 請求來利用此弱點,成功利用可能會允許攻擊者取得機敏資訊(包含日誌文件,包括可用於存取 API 的憑證等等)。 |
| 參考資訊: | iThome Cisco (sa-cslu) |