思科发布更新，修复了影响 Emergency Responder 的一个严重漏洞。该漏洞可导致未认证的远程攻击者利用硬编码凭据登录可疑系统。

该漏洞的编号是CVE-2023-20101（CVSS评分9.8），因用于开发过程的根账户的静态用户凭据引发。思科在安全公告中指出，“攻击者可使用该账户登录到受影响系统，从而利用该漏洞。如遭成功利用，该漏洞可使攻击者登录到受影响系统并以根用户身份执行任意命令。”

该漏洞影响思科 Emergency Responder Release 12.5(1)SU4，且已在12.5（1）SU5中修复。其它版本不受影响。思科表示，该漏洞是在开展内部安全检测时发现的并指出并未发现该漏洞遭在野恶意利用的情况。

不到一周前，思科提醒称攻击者正在利用位于其IOS Software 和 IOS XE Software 中的漏洞CVE-2023-20109，可导致认证的远程攻击者在受影响系统上实现远程代码执行。

因缺少临时缓解措施，因此建议客户尽快更新至最新版本进行缓解。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~