A Cisco lançou atualizações de segurança para corrigir duas falhas críticas em sua ferramenta Smart Licensing Utility, que poderiam permitir que atacantes remotos, sem autenticação, elevassem seus privilégios ou acessassem informações sensíveis. As vulnerabilidades, que possuem uma gravidade de 9.8 na pontuação CVSS, representam um sério risco para os usuários. Uma das falhas envolve a presença de uma credencial estática e não documentada para uma conta administrativa, que poderia ser explorada por um atacante para obter acesso ao sistema afetado. A outra falha decorre de um arquivo de log de depuração excessivamente detalhado, que possibilita que um invasor acesse esses arquivos por meio de uma solicitação HTTP manipulada e obtenha credenciais que permitem acessar a API.
Embora as falhas possam ser exploradas independentemente, a Cisco informou que elas só são passíveis de exploração se a Smart Licensing Utility tiver sido iniciada pelo usuário e estiver em execução ativa. Além disso, essas vulnerabilidades não afetam os produtos Smart Software Manager On-Prem e Smart Software Manager Satellite. Os usuários das versões 2.0.0, 2.1.0 e 2.2.0 da Smart License Utility são fortemente recomendados a atualizar para a versão corrigida mais recente.
Apesar de a Cisco ter alertado sobre a existência de um código de prova de conceito (PoC) para as vulnerabilidades, a empresa afirmou que ainda não houve relatos de exploração maliciosa dessas falhas até o momento.