Sécurité réseau · 1 min read · Jan 21, 2026
Une faille dans Cisco SSM permet aux hackers de changer n'importe quel mot de passe utilisateur
Cisco, le plus grand fournisseur d’équipements réseau au monde, a divulgué une vulnérabilité critique dans ses serveurs de licences Cisco Smart Software Manager On-Prem (SSM On-Prem) mercredi.
La vulnérabilité permet à un attaquant distant non authentifié de changer le mot de passe de n’importe quel utilisateur, y compris des utilisateurs administratifs.
La vulnérabilité critique suivie sous le nom CVE-2024-20419 (score CVSS : 10) résulte d’une mise en œuvre incorrecte du processus de changement de mot de passe au sein du système d’authentification Cisco SSM On-Prem.
Un attaquant peut exploiter cette vulnérabilité en envoyant des requêtes HTTP conçues à un appareil affecté.
L’exploitation réussie de cette faille permet à un attaquant d’accéder à l’interface web ou à l’API avec les privilèges de l’utilisateur compromis, ce qui peut conduire à un contrôle administratif non autorisé sur l’appareil.
Cette vulnérabilité affecte Cisco SSM On-Prem et Cisco Smart Software Manager Satellite (SSM Satellite). Pour les versions antérieures à la version 7.0, ce produit était connu sous le nom de Cisco SSM Satellite. À partir de la version 7.0, ce produit est appelé Cisco SSM On-Prem.
Cisco indique qu’aucun contournement n’est disponible pour remédier à cette vulnérabilité. Pour atténuer le risque, tous les administrateurs sont conseillés de mettre à niveau vers une version logicielle corrigée appropriée, comme indiqué dans le tableau ci-dessous.
| | Version Cisco SSM On-Prem | | Première version corrigée | |
| | 8-202206 et antérieures | | 8-202212 | |
| | 9 | | Non vulnérable | |
L’équipe de réponse aux incidents de sécurité des produits Cisco (PSIRT) n’est pas au courant d’annonces publiques ou d’utilisation malveillante de la vulnérabilité, car elle n’a pas encore trouvé de preuves que la faille soit exploitée activement.
Cisco a également confirmé que cette vulnérabilité n’affecte pas l’utilitaire de licence intelligente Cisco.
Les clients ayant des contrats de service leur permettant des mises à jour logicielles régulières devraient obtenir des correctifs de sécurité par leurs canaux de mise à jour habituels.
Ceux qui n’ont pas de contrats de service peuvent contacter le Centre d’assistance technique (TAC) pour obtenir de l’aide afin d’obtenir les mises à niveau nécessaires.
Recevez de nouveaux articles dans votre boîte de réception.
Aucun spam. Désabonnez-vous à tout moment.