Ciberseguridad · 1 min read · Jan 21, 2026
La falla de Cisco SSM permite a los hackers cambiar cualquier contraseña de usuario
Cisco, el mayor proveedor de equipos de red en el mundo, divulgó una vulnerabilidad crítica en sus servidores de licencias Cisco Smart Software Manager On-Prem (SSM On-Prem) el miércoles.
La vulnerabilidad permite a un atacante remoto no autenticado cambiar la contraseña de cualquier usuario, incluidos los usuarios administrativos.
La vulnerabilidad crítica rastreada como CVE-2024-20419 (puntuación CVSS: 10) resulta de una implementación inadecuada del proceso de cambio de contraseña dentro del sistema de autenticación de Cisco SSM On-Prem.
Un atacante puede explotar esta vulnerabilidad enviando solicitudes HTTP manipuladas a un dispositivo afectado.
La explotación exitosa de esta falla permite a un atacante acceder a la interfaz web o API con los privilegios del usuario comprometido, lo que podría llevar a un control administrativo no autorizado sobre el dispositivo.
Esta vulnerabilidad afecta a Cisco SSM On-Prem y Cisco Smart Software Manager Satellite (SSM Satellite). Para versiones anteriores a la versión 7.0, este producto era conocido como Cisco SSM Satellite. A partir de la versión 7.0, este producto se llama Cisco SSM On-Prem.
Cisco dice que no hay soluciones alternativas disponibles para abordar esta vulnerabilidad. Para mitigar el riesgo, se aconseja a todos los administradores que actualicen a una versión de software fija apropiada, como se indica en la tabla a continuación.
| | Versión de Cisco SSM On-Prem | | Primera versión fija | |
| | 8-202206 y anteriores | | 8-202212 | |
| | 9 | | No vulnerable | |
El Equipo de Respuesta a Incidentes de Seguridad de Productos de Cisco (PSIRT) no tiene conocimiento de anuncios públicos o uso malicioso de la vulnerabilidad, ya que aún no ha encontrado evidencia de que la falla esté siendo explotada activamente.
Cisco también ha confirmado que esta vulnerabilidad no afecta a la Utilidad de Licencias Inteligentes de Cisco.
Los clientes con contratos de servicio que les permiten actualizaciones de software regulares deben obtener correcciones de seguridad a través de sus canales de actualización habituales.
Aquellos que no tienen contratos de servicio pueden contactar al Centro de Asistencia Técnica (TAC) para obtener ayuda en la obtención de las actualizaciones necesarias.
Recibe nuevas publicaciones en tu bandeja de entrada.
No spam. Cancela la suscripción en cualquier momento.