Vulnérabilité de changement de mot de passe On-Prem du gestionnaire de logiciels intelligents Cisco

Une vulnérabilité dans le système d'authentification de Cisco Smart Software Manager On-Prem (SSM On-Prem) pourrait permettre à un attaquant non authentifié et distant de modifier le mot de passe de tout utilisateur, y compris les utilisateurs administratifs. Cette vulnérabilité est due à une mise en œuvre incorrecte du processus de changement de mot de passe. Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes HTTP élaborées à un appareil affecté. Un exploit réussi pourrait permettre à un attaquant d'accéder à l'interface utilisateur web ou à l'API avec les privilèges de l'utilisateur compromis. Cisco a publié des mises à jour logicielles qui corrigent cette vulnérabilité. Il n'y a pas de solutions de contournement qui traitent de cette vulnérabilité. Ce conseil est disponible au lien suivant : https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cssm-auth-sLw3uhUy Évaluation de l'impact de sécurité : Critique CVE : CVE-2024-20419