Cisco Smart Software Manager On-Prem 信任管理漏洞风险通告

发布时间 2020-02-21

漏洞编号和级别


CVE编号:CVE-2020-3158,危险级别:严重,CVSS分值:厂商自评:9.8,官方未评定


影响版本


启用了High Availability (HA)服务的Cisco Smart Software Manager On-Prem 7-202001之前版本


漏洞概述


思科修复其智能App管理器(SSM)中的特权账户静态密码漏洞,它可能允许远程攻击者使用特权较高的帐户访问系统的敏感部分。思科表示,“该漏洞是因为某系统账户具有默认和静态密码且并不受系统管理员控制而造成的。”SSM On-Prem系统只有在启用了高可用性(HA)功能时才易受攻击,但该功能默认未启用。思科警告称,攻击者不需要有效的登录就可以发起攻击,并且可以使用高特权默认帐户来连接易受攻击的系统,获得对系统数据的读写访问权限,并更改其设置。


漏洞验证


暂无PoC/EXP。


修复建议


   目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://tools.cisco.com/

security/center/content/CiscoSecurityAdvisory/cisco-sa-on-prem-static-cred-sL8rDs8。


参考链接


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-on-prem-static-cred-sL8rDs8