Cisco 發布 Smart Licensing Utility 安全性更新

風險等級: 高度威脅
摘 要: 弱點通告:Cisco 發布 Smart Licensing Utility 安全性更新,建議請管理者儘速評估更新!
影響系統:
  • Cisco Smart Licensing Utility 2.2.0 (含)之前版本
解決辦法: 建議更新至 Cisco Smart Licensing Utility 2.3.0 (含)之後版本。
細節描述: Cisco 近期發布更新,以解決授權管理公用程式 (Smart Licensing Utility) 的安全性弱點 (CVE-2024-20439、CVE-2024-20440),該弱點可能允許透過API取得管理員權限,進而取得相關事件記錄檔案、API的帳密資料等機敏資訊。CVE-2024-20439,靜態憑證弱點。該弱點是由於管理帳戶的未記錄靜態使用者憑證造成的,攻擊者可以藉由使用靜態憑證登入受影響的系統,成功利用可能會允許攻擊者透過應用程式的 API,以管理權限登入受影響的系統。

CVE-2024-20440,資訊洩露弱點。該弱點是由於調試日誌檔案中的詳細資訊過多造成的,攻擊者可以藉由發送偽造 HTTP 請求來利用此弱點,成功利用可能會允許攻擊者取得機敏資訊(包含日誌文件,包括可用於存取 API 的憑證等等)。

參考資訊: iThome
Cisco (sa-cslu)