思科（Cisco）周三（7/17）紧急修补Cisco Smart Software Manager On-Prem（SSM On-Prem）上的一个安全漏洞，此一编号为CVE-2024-20419的漏洞将允许未经身分验证的黑客，自远程变更任何SSM On-Prem用户的密码，包括具备管理权限的用户在内。

SSM On-Prem为思科的本地端部署解决方案，主要用来管理及监控企业内部的思科授权，此一漏洞影响Cisco SSM On-Prem与SSM Satellite。根据思科的说明，这两个是同样的产品，只是7.0以前称为SSM Satellite，自7.0起更名为Cisco SSM On-Prem。

根据思科的说明，该漏洞源自于密码变更进程实施不当，使得黑客只要发送一个特制的HTTP请求至受害设备上，便能触发此一漏洞，允许黑客以受骇用户的权限来存取网页界面或API，其CVSS风险评分高达10。

现阶段思科尚未收到CVE-2024-20419漏洞遭到滥用的报告，但强调除了部署修补程序之外，并无其它变通办法。