近日，國家信息安全漏洞庫（CNNVD）通報(bào)了關(guān)于Cisco IOS XE Software安全漏洞（CNNVD-202310-1209、CVE-2023-20198）的相關(guān)情況。未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以利用該漏洞創(chuàng)建具有最高訪問權(quán)限的賬戶，進(jìn)而控制受影響的系統(tǒng)。啟用了Web UI功能的Cisco IOS XE設(shè)備均受該漏洞影響。目前，思科官方暫未發(fā)布修補(bǔ)措施，建議用戶盡快確認(rèn)產(chǎn)品版本，及時(shí)關(guān)注官方公告。

一、漏洞介紹

Cisco IOS XE Software是美國思科（Cisco）公司的一個(gè)用于企業(yè)有線和無線訪問，匯聚，核心和WAN的操作系統(tǒng)。Cisco IOS XE Software 存在安全漏洞，未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以利用該漏洞創(chuàng)建具有最高訪問權(quán)限的賬戶，進(jìn)而控制受影響的系統(tǒng)。

二、危害影響

啟用了Web UI功能的Cisco IOS XE設(shè)備均受該漏洞影響。

三、修復(fù)建議

目前，思科官方暫未發(fā)布修補(bǔ)措施，建議用戶盡快確認(rèn)產(chǎn)品版本，及時(shí)關(guān)注官方公告。官方公告如下：

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

本次通報(bào)由CNNVD技術(shù)支撐單位——南京禾盾信息科技有限公司、奇安信網(wǎng)神信息技術(shù)（北京）股份有限公司、深圳融安網(wǎng)絡(luò)科技有限公司、北京神州綠盟科技有限公司、北京安天網(wǎng)絡(luò)安全技術(shù)有限公司、北京奇虎科技有限公司、杭州?？低晹?shù)字技術(shù)股份有限公司、湖北肆安科技有限公司等提供支持。

CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況，及時(shí)發(fā)布相關(guān)信息。如有需要，可與CNNVD聯(lián)系。