[CVE-2023-20198] Cisco IOS XE Software Web felhasználó interfész jogosultság kiterjesztési sérülékenység

A Cisco tudomására jutott a Cisco IOS XE szoftver webes felhasználói felületének egy korábban ismeretlen biztonsági résének aktív kihasználása. A kritikus besorolású sérülékenység lehetővé teszi egy távoli, hitelesítés nélküli támadó számára, hogy 15-ös jogosultsági szintű fiókot hozzon létre az érintett rendszeren. A támadó ezután a fiók segítségével átveheti az irányítást az érintett rendszer felett.

A sérülékenység minden Cisco eszközt érint, melyen Cisco IOS XE szoftver fut és a webes felhasználói felület funkció engedélyezve van.

A Cisco elemzi a sérülékenységet és tájékoztatást ad a vizsgálat állapotáról, és arról, ha elérhető lesz a szoftverjavítás. Addig is a Cisco nyomatékosan javasolja a HTTP-kiszolgáló szolgáltatás letiltását minden internetkapcsolattal rendelkező rendszeren.

További részletek az alábbi linkeken található:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
https://arstechnica.com/security/2023/10/actively-exploited-cisco-0-day-with-maximum-10-severity-gives-full-network-control/
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
https://www.darkreading.com/vulnerabilities-threats/critical-unpatched-cisco-zero-day-bug-active-exploit

Telefon:	+36 1 279 6222 (09:00-16:00)
Email:	@email
Cím:	1111 Budapest, Kende u. 13-17.