Cisco 已解决思科智能软件管理器本地 （Cisco SSM On-Prem） 许可证服务器中一个严重漏洞，跟踪为 CVE-2024-20419（CVSS 评分为 10.0），该漏洞允许攻击者更改任何用户的密码。

该问题是由于密码更改过程中的实施不正确造成的。威胁参与者可以通过向易受攻击的设备发送特制的 HTTP 请求来触发此漏洞。

“Cisco Smart Software Manager On-Prem （SSM On-Prem） 身份验证系统中的一个漏洞可能允许未经身份验证的远程攻击者更改任何用户（包括管理用户）的密码，”这家 IT 巨头发布的公告中写道。“此漏洞是由于密码更改过程的未正确实施造成的。攻击者可以通过向受影响的设备发送构建的 HTTP 请求来利用此漏洞。成功的漏洞利用可能允许攻击者以受感染用户的权限访问 Web UI 或 API。

安全研究员 Mohammed Adel 发现了这个漏洞。

该漏洞会影响版本 7.0 之前的 Cisco SSM On-Prem（又名 Cisco Smart Software Manager Satellite （SSM Satellite））版本。

思科的产品安全事件响应团队 （PSIRT） 尚未发现任何利用 CVE-2024-20419 漏洞的公告或攻击。

该公告指出，此缺陷没有解决方法。