この脆弱性はCVE-2024-20419として追跡されており、CVSSスコアは10.0です。

「この脆弱性は、パスワード変更プロセスの不適切な実装が原因です」と、同社はアドバイザリで述べています。「攻撃者は、影響を受けるデバイスに細工されたHTTPリクエストを送信することで、この脆弱性を悪用する可能性があります。成功した場合、攻撃者はコンプロマイズされたユーザーの特権でWeb UIやAPIにアクセスできる可能性があります。」

この欠陥は、Cisco SSM On-Premのバージョン8-202206およびそれ以前のバージョンに影響を与えます。バージョン8-202212で修正されています。バージョン9はこの欠陥の影響を受けません。

Ciscoは、この問題を解決する回避策はないと述べており、現時点で野外での悪意のある悪用は確認されていません。このバグの発見と報告は、セキュリティ研究者のMohammed Adelによるものです。

CISA、KEVカタログに3つの欠陥を追加#

この開示は、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）が、既知のエクスプロイトされている脆弱性（KEV）カタログに、以下の3つの脆弱性を追加したことを受けてのものです –

• CVE-2024-34102（CVSSスコア：9.8）- Adobe CommerceおよびMagento Open SourceのXML外部エンティティ参照（XXE）の不適切な制限による脆弱性
•