В продукте Cisco нашли уязвимость, позволяющую менять пароль любого пользователя

Cisco раскрыла критический недостаток в системе безопасности Smart Software Manager On-Prem, позволяющий злоумышленникам удаленно изменять пароль любого пользователя без аутентификации. Уязвимость CVE-2024−20 419 получила максимальный рейтинг серьезности — 10.

Smart Software Manager On-Prem используется организациями для управления лицензиями Cisco локально, а не через облачные сервисы. Недостаток связан с неправильной реализацией процесса смены пароля, что позволяет злоумышленникам эксплуатировать систему, отправляя поддельные HTTP-запросы. Успешная эксплуатация предоставляет злоумышленникам доступ к веб-интерфейсу или API с нарушенными привилегиями пользователя.

Потенциальные последствия включают несанкционированный доступ к конфиденциальным данным и возможность переключения на другие подключенные устройства Cisco, что создает значительные риски безопасности для пострадавших организаций.