主页>生活航天 >思科惊爆重大漏洞,不用打密码就能取得管理员权限,IT 们快更

思科惊爆重大漏洞,不用打密码就能取得管理员权限,IT 们快更

2020-07-09 | 文章出自:

思科惊爆重大漏洞,不用打密码就能取得管理员权限,IT 们快更

上星期,知名网路解决方案提供者思科(CISCO)在 自家官方网站 上发布公告,宣布旗下的 Elastic Services Controller 软体出现严重漏洞,使用者在服务入口页面可在无需密码的状况下直接远端操作具备管理员权限的所有动作,影响层面甚广。

安全限制失误,「密码输入框留白就能登入」

根据官方网站的叙述,这个被思科命名为漏洞编号 CVE-2018-0121 的报告指出,在思科自家的 Elastic Services Controller 软体版本 3.0.0 中,由于设计上的失误,没有适当的安全限制机制,当使用者来到入口页面进行操作,而该页面跳出管理员密码确认视窗时,使用者只须在密码栏位留白并直接送出,就能取得管理员权限。

取得之后,使用者便可远端操作所有的管理员权限,对系统安全造成严重问题。

思科惊爆重大漏洞,不用打密码就能取得管理员权限,IT 们快更思科:除了更新以外没有其他解决方法

目前,斯刻已经紧急释出更新软体版本 3.1.0,并且在网站上标明,现阶段除了更新系统以外,没有其他方法可以修部这个漏洞,也呼吁相关受影响的使用者尽速检查自己的系统版本,并且更新至上述最新版本号。

─ ─

参考
思科官方网站:Cisco Elastic Services Controller Service Portal Authentication Bypass Vulnerability
iThome: 思科 Elastic Services Controller 爆重大漏洞,免密码就能取得管理员权限

还有哪些重大的资安事件?

超实用查询网站,一秒知道自己的密码是否被外洩!
联想 ThinkPad 资安爆漏洞,指纹辨识竟然能被一组「万用密码」破解?
警察不能逼我交出手机密码,却能用我的指纹与脸直接解锁?
Mac 资安漏洞让你也能当骇客:帐号输入 root,连戳 Enter 就能破解密码!