9月4日思科發布資安公告，指出用於授權管理的公用程式Smart Licensing Utility存在重大層級漏洞CVE-2024-20439、CVE-2024-20440，攻擊者可在未經授權的情況下遠端利用，從而在此公用程式執行的過程中，收集敏感資訊，或是管理此公用程式的服務。

不過，攻擊者若要利用這些漏洞，前提是使用者啟動Smart Licensing Utility，而且必須是正在運作的狀態才能觸發。上述漏洞影響2.0.0至2.2.0版Smart Licensing Utility，2.3.0版不受影響，此外，Smart Software Manager On-Prem及Smart Software Manager Satellite也不受影響。

值得留意的是，這些漏洞的CVSS風險評分都達到9.8（滿分10分），思科指出這些漏洞沒有相依性，攻擊者不需利用其他漏洞就能觸發。此外，除了升級新版軟體之外，並無其他緩解措施能夠降低風險。

其中，靜態帳密漏洞CVE-2024-20439與未記載於文件的管理帳號有關，攻擊者一旦成功利用，就有機會透過API取得管理員權限，並存取該公用程式。

另一個漏洞CVE-2024-20440，則有可能造成資訊洩露，該漏洞發生的原因與除錯事件記錄留下過多資訊造成，攻擊者若是藉此取得相關事件記錄檔案，就有機會得到能存取API的帳密資料。