Laburpen exekutiboa
Cisco-k kalteberatas kritiko bat identifikatu du Smart Licensing Utility tresnan, urruneko erasle batek eta autentifikaziorik gabe sistema sarbidea lortzea baimentzen duena, kredentzial administratibo estatikoak erabiliz. Kalteberatasun hau administrazio kontu erabiltzaile estatiko dokumentatu gabearen presentziatik sortzen da, ustiapena errazteko. Kalteberatasun hau aprobetxatzen duen erasle batek aplikazioaren API-an administrazio-pribilegioak lortu ditzake, sistemaren integritatea, konfidentzialtasuna eta eskuragarritasuna konprometituz. Cisco-k emandako segurtasun eguneratzeak aplikatzea gomendatzen da arrisku hau arintzeko.
Eragindako baliabideak
- Cisco Smart Licensing Utility
Azterketa teknikoa
- CVE-2024-20439: Cisco Smart Licensing Utility-n kalteberatasun batek urruneko erasle autentifikatu gabe bati eragindako sistemara sartzea baimendu dezake kredentzial administratibo estatiko bat erabiliz. Kalteberatasun hau dokumentatu gabeko erabiltzaile estatiko baten kredentzial administratibo baten presentziatik dator. Erasle batek kalteberatasun hau estatikoak erabiliz aprobetxatu dezake eragindako sistemara sartzeko. Ustiapen arrakastatsuak erasleari Cisco Smart Licensing Utility aplikazioaren API-an administrazio pribilegioak dituzten eragindako sistemara sartzea baimendu diezaioke.
- CWE-798
- CVSS: 9.8
- CVSS Vektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- Ustiapena: Detektatu
Arintzea/Konponbidea
Cisco-k fabrikatzailearen argibideen arabera arintze neurriak aplikatzea gomendatzen du Cisco Smart Licensing Utility-n kredentzial estatikoen kalteberatasuna konpontzeko. Arintze neurriak aurkitzen ez badira, eragindako produktua erabiltzea etetea gomendatzen da. Informazio gehiago lortzeko, kontsultatu erreferentzia gehigarriak eta jarraitu BOD 22-01 dokumentuaren aplikagarriak diren gidalerroak hodeiko zerbitzuetarako.