Sicherheit · 1 min read · Jan 21, 2026
Cisco SSM-Schwachstelle ermöglicht Hackern, jedes Benutzerpasswort zu ändern
Cisco, der größte Anbieter von Netzwerkausrüstung der Welt, hat am Mittwoch eine kritische Sicherheitsanfälligkeit in seinen Cisco Smart Software Manager On-Prem (SSM On-Prem) Lizenzservern offengelegt.
Die Schwachstelle ermöglicht es einem nicht authentifizierten, entfernten Angreifer, das Passwort eines beliebigen Benutzers, einschließlich administrativer Benutzer, zu ändern.
Die kritische Schwachstelle, die als CVE-2024-20419 (CVSS-Score: 10) verfolgt wird, resultiert aus einer unsachgemäßen Implementierung des Passwortänderungsprozesses innerhalb des Authentifizierungssystems von Cisco SSM On-Prem.
Ein Angreifer kann diese Schwachstelle ausnutzen, indem er manipulierte HTTP-Anfragen an ein betroffenes Gerät sendet.
Die erfolgreiche Ausnutzung dieser Schwachstelle ermöglicht es einem Angreifer, auf die Web-UI oder API mit den Rechten des kompromittierten Benutzers zuzugreifen, was potenziell zu unbefugter administrativer Kontrolle über das Gerät führen kann.
Diese Schwachstelle betrifft Cisco SSM On-Prem und Cisco Smart Software Manager Satellite (SSM Satellite). Für Versionen vor Release 7.0 war dieses Produkt als Cisco SSM Satellite bekannt. Ab Release 7.0 wird dieses Produkt als Cisco SSM On-Prem bezeichnet.
Cisco gibt an, dass keine Umgehungsmöglichkeiten zur Behebung dieser Schwachstelle verfügbar sind. Um das Risiko zu mindern, wird allen Administratoren geraten, auf eine geeignete, behobene Softwareversion zu aktualisieren, wie in der folgenden Tabelle angegeben.
| | Cisco SSM On-Prem Release | | Erste behobene Version | |
| | 8-202206 und früher | | 8-202212 | |
| | 9 | | Nicht anfällig | |
Das Cisco Product Security Incident Response Team (PSIRT) ist sich keiner öffentlichen Ankündigungen oder böswilligen Nutzung der Schwachstelle bewusst, da es bisher keine Beweise dafür gefunden hat, dass die Schwachstelle aktiv ausgenutzt wird.
Cisco hat auch bestätigt, dass diese Schwachstelle die Cisco Smart Licensing Utility nicht betrifft.
Kunden mit Serviceverträgen, die ihnen regelmäßige Softwareupdates erlauben, sollten Sicherheitsupdates über ihre üblichen Update-Kanäle beziehen.
Diejenigen, die keine Serviceverträge haben, können das Technical Assistance Center (TAC) kontaktieren, um Hilfe beim Erhalt der notwendigen Upgrades zu erhalten.
Erhalte neue Beiträge in deinem Posteingang.
Kein Spam. Jederzeit abmelden.