CRITICAL✓ PATCH🇬🇧 English

CVE-2024-20419

Cisco SSM On-Prem: nieuwierzytelniona zmiana hasła dowolnego użytkownika

CVSS 10.0v3.1pub. 2024-07-17upd. 2025-07-31

Krytyczna podatność w systemie uwierzytelniania Cisco Smart Software Manager On-Prem (SSM On-Prem) umożliwia nieuwierzytelnionemu atakującemu zdalną zmianę hasła dowolnego użytkownika, w tym kont administracyjnych. Uzyskanie dostępu do konta administratora daje pełną kontrolę nad urządzeniem.

Pokaż oryginał (EN)

A vulnerability in the authentication system of Cisco Smart Software Manager On-Prem (SSM On-Prem) could allow an unauthenticated, remote attacker to change the password of any user, including administrative users. This vulnerability is due to improper implementation of the password-change process. An attacker could exploit this vulnerability by sending crafted HTTP requests to an affected device. A successful exploit could allow an attacker to access the web UI or API with the privileges of the compromised user.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej implementacji procesu zmiany hasła w systemie SSM On-Prem. Atakujący może wysłać odpowiednio spreparowane żądania HTTP do podatnego urządzenia bez żadnego wcześniejszego uwierzytelnienia. Skuteczne wykorzystanie podatności pozwala na zmianę hasła wybranego użytkownika, a następnie zalogowanie się do interfejsu webowego lub API z uprawnieniami przejętego konta.

Skutki

Atakujący może uzyskać pełny dostęp do interfejsu webowego lub API SSM On-Prem z uprawnieniami dowolnie wybranego użytkownika, włącznie z kontami administracyjnymi, co skutkuje całkowitym przejęciem kontroli nad systemem.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi w Cisco Security Advisory (cisco-sa-cssm-auth-sLw3uhUy). Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do interfejsu webowego i API SSM On-Prem wyłącznie do zaufanych hostów.

Kogo dotyczy

Cisco Smart Software Manager On-Prem (SSM On-Prem) — konkretne wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Cisco Smart Software Manager On Prem

    APP
    Cisco
    < 8-202112
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-20160CRITICAL9.8PL ✓ten sam produkt

RCE z uprawnieniami root w Cisco Smart Software Manager On-Prem

CVE-2020-3158CRITICAL9.1ten sam produkt

A vulnerability in the High Availability (HA) service of Cisco Smart Software Manager On-Prem could allow an u...

CVE-2019-16029CRITICAL9.1ten sam produkt

A vulnerability in the application programming interface (API) of Cisco Smart Software Manager On-Prem could a...

CVE-2022-20808HIGH7.7ten sam produkt

A vulnerability in Cisco Smart Software Manager On-Prem (SSM On-Prem) could allow an authenticated, remote att...

CVE-2021-1219HIGH7.8ten sam produkt

A vulnerability in Cisco Smart Software Manager Satellite could allow an authenticated, local attacker to acce...