Nội dung:
Thứ Tư (17/7), Cisco vá khẩn cấp lỗ hổng bảo mật trên Cisco Smart Software Manager On-Prem (SSM On-Prem). Lỗ hổng này mang mã số CVE-2024-20419, cho phép tin tặc chưa xác thực từ xa thay đổi mật khẩu của bất kỳ người dùng SSM On-Prem nào, kể cả người dùng có quyền quản trị.
Theo Cisco, nguyên nhân lỗ hổng là do cơ chế thay đổi mật khẩu được triển khai không đúng cách. Tin tặc chỉ cần gửi một yêu cầu HTTP đặc biệt tới thiết bị bị ảnh hưởng là có thể khai thác, từ đó truy cập giao diện web hoặc API với quyền của người dùng bị tấn công. Lỗ hổng này được đánh giá mức rủi ro CVSS là 10/10.
Khuyến nghị:
Triển khai bản vá phần mềm.
Nguồn tài liệu: