Cisco ha rivelato una vulnerabilità critica con un livello di gravità di 9,8 su 10, nel suo prodotto On-Prem di Cisco Smart Software Manager, uno strumento di gestione delle licenze software rivolto alle organizzazioni con requisiti di sicurezza delicati.
La vulnerabilità è dovuta a un account di sistema che ha una password predefinita e statica e non è sotto il controllo dell’amministratore di sistema. Un utente malintenzionato potrebbe sfruttare questa vulnerabilità utilizzando questo account predefinito per connettersi al sistema interessato. Un exploit di successo potrebbe consentire all’attaccante di ottenere l’ accesso in lettura e scrittura ai dati di sistema, inclusa la configurazione di un dispositivo interessato. L’attaccante otterrebbe l’accesso a una parte sensibile del sistema, ma l’attaccante non avrebbe diritti amministrativi completi per controllare il dispositivo.
Cisco ha rilasciato aggiornamenti software gratuiti che risolvono la vulnerabilità descritta in questo avviso. Non ci sono soluzioni alternative che risolvono questa vulnerabilità. I clienti possono installare e aspettarsi il supporto solo per versioni software e set di funzionalità per le quali hanno acquistato una licenza.
Installando, scaricando, accedendo o utilizzando in altro modo tali aggiornamenti software, i clienti accettano di seguire i termini della licenza del software Cisco:
