思科Smart Software Manager高权限登录凭证遭暴露
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队思科发布多个修复方案,解决其网络和统一通信线路中的17个漏洞问题。思科发布的补丁修复了1个严重漏洞和6个高危漏洞,包括远程访问...
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
思科发布多个修复方案,解决其网络和统一通信线路中的17个漏洞问题。
思科发布的补丁修复了1个严重漏洞和6个高危漏洞,包括远程访问和代码执行漏洞、提权漏洞、拒绝服务漏洞和跨站点请求伪造漏洞。
这个唯一的严重漏洞是 CVE-2020-3158,是由思科智能软件管理器 (Smart Software Manager) 工具中某高权限账户的静态密码引发的。思科表示,“该漏洞是因为某系统账户具有默认和静态密码且并不受系统管理员控制而造成的。攻击者能够使用这个默认账户连接到受影响系统,从而利用该漏洞。”
由于智能软件管理员处理软件许可证和密钥,因此该缺陷并不会对敏感的企业数据带来巨大风险。但不可删除的高权限账户具有静态代码并非我们想看到的情况,因此建议管理员尽快更新软件删除该静态账户。
这份修复方案还修复了 Unified Contact Center 中的提权漏洞 (CVE-2019-1888) 和 Data Center NetworkManager 中的提权漏洞 (CVE-2020-3112),以及要求本地访问权限的 NFV InfrastructureSoftware 中的代码执行漏洞 (CVE-2020-3138)。
虽然拒绝服务漏洞通常并不认为是巨大风险,但如果出现在网安全设备中则严重得多。思科 Email Security Appliance 中的 CVE-2019-1947 和 CVE-2019-1983 就是这种情况。
思科这次修复的其它不太严重的缺陷包括 Cloud Web Security 中的 SQL 注入漏洞 (CVE-2020-3154) 和思科 IP Phone 中的远程代码执行漏洞 (CVE-2020-3111)。
推荐阅读
原文链接
https://www.theregister.co.uk/2020/02/19/cisco_february_fixes/
题图:Pixabay License
转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
点个“在看”,bounty 不停~
开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!
更多推荐
所有评论(0)