Cisco đã cập nhật bản vá cho hai lỗ hổng trong Smart Licensing Utility

Thứ sáu - 06/09/2024 16:02 264 0
Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC), Cục An toàn thông tin thông báo Cisco vừa phát hành bản cập nhật an ninh cho hai lỗ hổng nghiêm trọng trong công cụ Smart Licensing Utility, có thể cho phép những kẻ tấn công từ xa không được xác thực nâng cao quyền hạn hoặc truy cập vào thông tin nhạy cảm nhằm cung cấp thêm thông tin cần thiết để quản trị viên cũng như người dùng có thể thực hiện các biện pháp bảo mật một cách kịp thời và hiệu quả.
cisco

Thông tin chi tiết về hai lỗ hổng:

CVE-2024-20439 (Điểm CVSS: 9.8): Lỗ hổng này liên quan đến việc tồn tại một thông tin đăng nhập người dùng tĩnh không được công bố cho tài khoản quản trị, cho phép kẻ tấn công có thể đăng nhập vào hệ thống bị ảnh hưởng.

CVE-2024-20440 (Điểm CVSS: 9.8): Lỗ hổng xảy ra do tệp nhật ký gỡ lỗi có quá nhiều thông tin. Kẻ tấn công có thể lợi dụng điều này để truy cập vào các tệp nhật ký bằng cách gửi một yêu cầu HTTP được tạo ra đặc biệt. Khi làm như vậy, họ có thể lấy được thông tin đăng nhập và sử dụng nó để truy cập vào API.

Các lỗ hổng này được phát hiện trong quá trình kiểm tra an ninh nội bộ và không ảnh hưởng đến các sản phẩm Smart Software Manager On-Prem và Smart Software Manager Satellite.

Khuyến nghị

Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị, góp phần đảm bảo an toàn cho không gian mạng Việt Nam, Trung tâm VNCERT/CC khuyến nghị người dùng của Cisco Smart Licensing Utility phiên bản 2.0.0, 2.1.0 và 2.2.0 hãy cập nhật lên phiên bản đã sửa lỗi. Phiên bản 2.3.0 của phần mềm không bị ảnh hưởng bởi các lỗ hổng này.

Tác giả: VNCERT/CC

Nguồn tin: vncert.vn

Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây