9月4日思科发布资安公告，指出用于授权管理的公用程序Smart Licensing Utility存在重大层级漏洞CVE-2024-20439、CVE-2024-20440，攻击者可在未经授权的情况下远程利用，从而在此公用程序运行的过程中，收集敏感信息，或是管理此公用程序的服务。

不过，攻击者若要利用这些漏洞，前提是用户启动Smart Licensing Utility，而且必须是正在运作的状态才能触发。上述漏洞影响2.0.0至2.2.0版Smart Licensing Utility，2.3.0版不受影响，此外，Smart Software Manager On-Prem及Smart Software Manager Satellite也不受影响。

值得留意的是，这些漏洞的CVSS风险评分都达到9.8（满分10分），思科指出这些漏洞没有相依性，攻击者不需利用其他漏洞就能触发。此外，除了升级新版软件之外，并无其他缓解措施能够降低风险。

其中，静态帐密漏洞CVE-2024-20439与未记载于文档的管理帐号有关，攻击者一旦成功利用，就有机会通过API取得管理员权限，并存取该公用程序。

另一个漏洞CVE-2024-20440，则有可能造成信息泄露，该漏洞发生的原因与调试事件记录留下过多信息造成，攻击者若是借此取得相关事件记录文件，就有机会得到能存取API的帐密数据。