Cisco دو نقص حیاتی RCE (CVE-2024-20439 و CVE-2024-20440) در نرم‌افزار Smart Licensing Utility را برطرف کرد

security news

Cisco به‌روزرسانی‌های امنیتی را برای دو نقص امنیتی حیاتی منتشر کرده است که بر برنامه Smart Licensing Utility تأثیر می‌گذارد و می‌تواند به نفوذگران غیر مجاز و از راه دور اجازه دهد تا سطح دسترسی خود را ارتقا دهند یا به اطلاعات حساس دسترسی یابد.

در حالی که این نقص‌ها برای موفقیت به یکدیگر وابسته نیستند، Cisco در توصیه‌های خود خاطر نشان کرد که صرفا هنگامی که Cisco Smart Licensing Utility توسط یک کاربر راه‌اندازی شده باشد و به طور فعال در حال اجرا باشد، قابل استفاده هستند. شرح مختصری از این دو آسیب پذیری در زیر آمده است:

  1. CVE-2024-20439 (امتیاز CVSS: 9.8) وجود یک اعتبار کاربری ثابت غیر مستند برای اکانت مدیریتی که مهاجم می‌تواند از آن برای ورود به سیستم آسیب‌پذیر سوء استفاده کند.
  2. CVE-2024-20440 (امتیاز CVSS: 9.8)  آسیب‌پذیری ناشی از یک فایل لاگ اشکال‌زدایی بیش از حد که مهاجم می‌تواند آن را برای دسترسی به چنین فایل‌هایی با استفاده از یک درخواست HTTP دستکاری شده و به دست آوردن اعتباری که می‌تواند برای دسترسی به API استفاده شود، اکسپلویت کند.

به کاربران Cisco Smart License Utility نسخه های 2.0.0، 2.1.0 و 2.2.0 توصیه شده است که به نسخه اخیر به روز شوند. نسخه 2.3.0 نرم افزار مستعد باگ نیست.

https://thehackernews.com/2024/09/cisco-fixes-two-critical-flaws-in-smart.html