Thông tin chi tiết về hai lỗ hổng:
CVE-2024-20439 (Điểm CVSS: 9.8): Lỗ hổng này liên quan đến việc tồn tại một thông tin đăng nhập người dùng tĩnh không được công bố cho tài khoản quản trị, cho phép kẻ tấn công có thể đăng nhập vào hệ thống bị ảnh hưởng.
CVE-2024-20440 (Điểm CVSS: 9.8): Lỗ hổng xảy ra do tệp nhật ký gỡ lỗi có quá nhiều thông tin. Kẻ tấn công có thể lợi dụng điều này để truy cập vào các tệp nhật ký bằng cách gửi một yêu cầu HTTP được tạo ra đặc biệt. Khi làm như vậy, họ có thể lấy được thông tin đăng nhập và sử dụng nó để truy cập vào API.
Các lỗ hổng này được phát hiện trong quá trình kiểm tra an ninh nội bộ và không ảnh hưởng đến các sản phẩm Smart Software Manager On-Prem và Smart Software Manager Satellite.
Khuyến nghị
Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị, góp phần đảm bảo an toàn cho không gian mạng Việt Nam, Trung tâm VNCERT/CC khuyến nghị người dùng của Cisco Smart Licensing Utility phiên bản 2.0.0, 2.1.0 và 2.2.0 hãy cập nhật lên phiên bản đã sửa lỗi. Phiên bản 2.3.0 của phần mềm không bị ảnh hưởng bởi các lỗ hổng này.