Cisco 发现并修复了思科智能软件管理器本地（Cisco SSM On-Prem） 许可证服务器中的一个严重漏洞，该漏洞允许攻击者更改任何用户的密码。该漏洞编号为 CVE-2024-20419，CVSS 评分为 10.0，影响版本 7.0 之前的 Cisco SSM On-Prem 版本。漏洞源于密码更改过程的实施不当，攻击者可通过发送特制的 HTTP 请求触发漏洞，进而以受感染用户的权限访问 Web UI 或 API。

😄 **漏洞影响范围：** 该漏洞影响版本 7.0 之前的 Cisco SSM On-Prem 版本，也称为 Cisco Smart Software Manager Satellite (SSM Satellite)。

😥 **漏洞原理：** 漏洞是由于密码更改过程的实施不当造成的，攻击者可以通过发送特制的 HTTP 请求触发漏洞。

😡 **漏洞危害：** 攻击者可以通过利用此漏洞以受感染用户的权限访问 Web UI 或 API，从而获取敏感信息、更改系统配置或进行其他恶意操作。

🛡️ **解决方案：** Cisco 已经发布了针对该漏洞的修复程序，建议所有受影响的设备尽快升级到最新版本。

🙏 **安全建议：** 用户应及时更新系统，并加强网络安全防护，以防止攻击者利用该漏洞进行攻击。

Cisco 已解决思科智能软件管理器本地 （Cisco SSM On-Prem） 许可证服务器中一个严重漏洞，跟踪为 CVE-2024-20419（CVSS 评分为 10.0），该漏洞允许攻击者更改任何用户的密码。该问题是由于密码更改过程中的实施不正确造成的。威胁参与者可以通过向易受攻击的设备发送特制的 HTTP 请求来触发此漏洞。“Cisco Smart Software Manager On-Prem （SSM On-Prem） 身份验证系统中的一个漏洞可能允许未经身份验证的远程攻击者更改任何用户（包括管理用户）的密码，”这家 IT 巨头发布的公告中写道。“此漏洞是由于密码更改过程的未正确实施造成的。攻击者可以通过向受影响的设备发送构建的 HTTP 请求来利用此漏洞。成功的漏洞利用可能允许攻击者以受感染用户的权限访问 Web UI 或 API。安全研究员 Mohammed Adel 发现了这个漏洞。该漏洞会影响版本 7.0 之前的 Cisco SSM On-Prem（又名 Cisco Smart Software Manager Satellite （SSM Satellite））版本。思科的产品安全事件响应团队 （PSIRT） 尚未发现任何利用 CVE-2024-20419 漏洞的公告或攻击。该公告指出，此缺陷没有解决方法。