北京赛克艾威科技有限公司 2023-10-17
近日,赛克艾威网络安全实验室监测到Cisco发布了IOS XE 软件的风险通告,漏洞编号为CVE-2023-20198,漏洞等级:高危,漏洞评分:10。该漏洞已出现在野利用。
该漏洞存在于Cisco IOS XE 软件 Web UI 中,是一个权限提升漏洞。当Cisco IOS XE软件的web UI暴露在互联网上或不可信的网络中时,未经身份验证的远程攻击者可以利用该漏洞在受影响的系统上创建具有15级访问权限的账户,进而可以利用该帐户来控制受影响的系统。Cisco IOS 系统上的权限级别 15 基本上意味着可以完全访问所有命令,包括重新加载系统和进行配置更改的命令。
评定方式 等级
威胁等级 高危
影响面 广泛
攻击者价值 高
利用难度 低
360CERT评分 10
根据影响版本中的信息,排查并升级到安全版本,或直接访问参考链接获取官方更新指南。
参考链接:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z