A falha também afeta as instalações do SSM On-Prem anteriores à Versão 7.0, conhecida como Cisco Smart Software Manager Satellite (SSM Satellite).
Como um componente Cisco Smart Licensing, o SSM On-Prem auxilia provedores de serviços e parceiros da Cisco no gerenciamento de contas de clientes e licenças de produtos.
Rastreada como CVE-2024-20419, essa falha crítica de segurança é causada por uma falha de alteração de senha não verificada no sistema de autenticação do SSM On-Prem. A exploração bem-sucedida permite que atacantes remotos não autenticados definam novas senhas de usuário sem conhecer as credenciais originais.
“Esta vulnerabilidade é devido à implementação inadequada do processo de alteração de senha. Um intruso poderia explorar esta vulnerabilidade enviando pedidos HTTP criados para um dispositivo afectado” Cisco explicado.
“Uma exploração bem-sucedida pode permitir que um invasor acesse a UI ou a API da Web com os privilégios do usuário comprometido.”
| Lançamento do Cisco SSM On-Prem | Primeira Liberação Fixa |
|---|---|
| 8-202206 e anteriores | 8-202212 |
| 9 | Não vulnerável |
A empresa diz que não há soluções alternativas disponíveis para sistemas afetados por essa falha de segurança, e todos os administradores devem atualizar para uma versão fixa para proteger servidores vulneráveis em seu ambiente.
A Equipe de Resposta a Incidentes de Segurança de Produto (PSIRT) da Cisco ainda não encontrou evidências de explorações públicas de prova de conceito ou tentativas de exploração visando essa vulnerabilidade.
No início deste mês, a empresa corrigiu um dia zero do NX-OS (CVE-2024-20399) que tinha sido explorado para instalar malware anteriormente desconhecido como root em switches MDS e Nexus vulneráveis desde abril.
Em abril, a Cisco também alertou que um grupo de hackers apoiado pelo estado (atravessado como UAT4356 e STORM-1849) estava explorando dois outros bugs de dia zero (CVE-2024-20353 e CVE-2024-20359).
Desde novembro de 2023, os atacantes usaram os dois bugs contra os firewalls Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD) em uma campanha apelidada de ArcaneDoor, visando redes governamentais em todo o mundo.
Meta notificou autoridades de que cerca de 20.225 contas do Instagram podem ter sido sequestradas…
Microsoft fechou junho de 2026 com o maior Patch Tuesday da historia: 206 CVEs, incluindo…
O GitHub anunciou que o npm versao 12 desligara por padrao a execucao automatica de…
CISA adiciona CVE-2026-42271 ao KEV: bug no LiteLLM da BerryAI vira RCE não autenticada quando…
Mid and South Essex confirma 2.380 registros comprometidos, somando-se aos 33 mil do Bedfordshire —…
Trend Micro confirma que Gamaredon (Earth Dahu) e SHADOW-EARTH-066 ainda exploram a CVE-2025-8088 no WinRAR…