思科产品中存在严重硬编码密码漏洞和Java反序列化漏洞

Posted 2021-04-18 FreeBuf

近日，思科发布了 22 条安全公告，其中包括两条重要的修复方案：修复一个硬编码密码漏洞（ CVE-2018-0141）和一个 Java 反序列化漏洞（CVE-2018-0147）。

硬编码密码漏洞

按照 CVSS 漏洞评分（满分 10 分），硬编码密码漏洞只有 5.9，属于中危级别。思科在内部安全测试过程中发现了这漏洞，由于可能存在未被重视的不安全环境，可能导致攻击者获取 root 权限，因此将其评委“严重高危”。思科表示，该漏洞目前只影响 2016 年发布的 PCP 11.6 版本，建议用户尽快升级到打过补丁的 PCP 12.1 版本，避免安全问题。

Java 反序列化漏洞

另一个比较受重视的漏洞是 Java 反序列化漏洞，影响思科的安全访问控制系统（ACS）。由于受影响的软件试图反序列化用户提供的内容时，远程攻击者可以利用这个漏洞，无需提供正确凭证就能发送精心设计的序列化 Java 对象，获取 root 权限并执行任意命令。

按照 CVSS 漏洞评分（满分 10 分），这个漏洞得分为 9.8 分，属于严重漏洞，影响 5.8 patch 9 版本之前所有版本的思科安全 ACS 系统。不过，运行 5.8 patch 7 版本和 5.8 patch 8 版本的系统需要提供凭证才能利用，因此 CVSS 漏洞评分为 8.8。思恩客建议用户尽快将系统升级到最新版本，并参考安全公告进行安全更新。

*参考来源：TheHackerNews，AngelaY 编译整理，转载请注明来自 FreeBuf.COM