Cisco بهروزرسانیهای امنیتی را برای دو نقص امنیتی حیاتی منتشر کرده است که بر برنامه Smart Licensing Utility تأثیر میگذارد و میتواند به نفوذگران غیر مجاز و از راه دور اجازه دهد تا سطح دسترسی خود را ارتقا دهند یا به اطلاعات حساس دسترسی یابد.
در حالی که این نقصها برای موفقیت به یکدیگر وابسته نیستند، Cisco در توصیههای خود خاطر نشان کرد که صرفا هنگامی که Cisco Smart Licensing Utility توسط یک کاربر راهاندازی شده باشد و به طور فعال در حال اجرا باشد، قابل استفاده هستند. شرح مختصری از این دو آسیب پذیری در زیر آمده است:
- CVE-2024-20439 (امتیاز CVSS: 9.8) وجود یک اعتبار کاربری ثابت غیر مستند برای اکانت مدیریتی که مهاجم میتواند از آن برای ورود به سیستم آسیبپذیر سوء استفاده کند.
- CVE-2024-20440 (امتیاز CVSS: 9.8) آسیبپذیری ناشی از یک فایل لاگ اشکالزدایی بیش از حد که مهاجم میتواند آن را برای دسترسی به چنین فایلهایی با استفاده از یک درخواست HTTP دستکاری شده و به دست آوردن اعتباری که میتواند برای دسترسی به API استفاده شود، اکسپلویت کند.
به کاربران Cisco Smart License Utility نسخه های 2.0.0، 2.1.0 و 2.2.0 توصیه شده است که به نسخه اخیر به روز شوند. نسخه 2.3.0 نرم افزار مستعد باگ نیست.
https://thehackernews.com/2024/09/cisco-fixes-two-critical-flaws-in-smart.html
