Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-05593

Опубликовано: 17 июл. 2024
Источник: fstec
CVSS3: 10
CVSS2: 10
EPSS Критический

Описание

Уязвимость системы аутентификации программного средства администрирования лицензий Cisco Smart Software Manager On-Prem связана с отсутствием необходимой проверки при изменении пароля. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к веб-интерфейсу администрирования путем отправки специально сформированных HTTP-запросов

Вендор

Cisco Systems Inc.

Наименование ПО

Cisco Smart Software Manager On-Prem

Версия ПО

до 8-202212 (Cisco Smart Software Manager On-Prem)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройствам;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- использование систем обнаружения и предотвращения вторжений для отслеживания попыток эксплуатации уязвимости;
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.
Использование рекомендаций производителя:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cssm-auth-sLw3uhUy

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.91421
Критический

10 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-20419

CVSS3: 10
nvd
больше 1 года назад

A vulnerability in the authentication system of Cisco Smart Software Manager On-Prem (SSM On-Prem) could allow an unauthenticated, remote attacker to change the password of any user, including administrative users. This vulnerability is due to improper implementation of the password-change process. An attacker could exploit this vulnerability by sending crafted HTTP requests to an affected device. A successful exploit could allow an attacker to access the web UI or API with the privileges of the compromised user.

github логотип

GHSA-5697-p67m-73p6

CVSS3: 10
github
больше 1 года назад

A vulnerability in the authentication system of Cisco Smart Software Manager On-Prem (SSM On-Prem) could allow an unauthenticated, remote attacker to change the password of any user, including administrative users. This vulnerability is due to improper implementation of the password-change process. An attacker could exploit this vulnerability by sending crafted HTTP requests to an affected device. A successful exploit could allow an attacker to access the web UI or API with the privileges of the compromised user.

EPSS

Процентиль: 100%
0.91421
Критический

10 Critical

CVSS3

10 Critical

CVSS2