思科產品中存在硬編碼密碼和 Java 反序列化高危漏洞

外媒 3 月 8 日消息，思科最近發布的一組安全更新中包括兩個重要漏洞的修復方案 — 硬編碼密碼漏洞（CVE-2018-0141）和 Java 反序列化漏洞（CVE-2018-0147）。

硬編碼密碼漏洞（CVE-2018-0141）是由于系統上的硬編碼帳戶密碼造成的，可被本地攻擊者利用來獲得對易受攻擊設備的完全控制權。目前該漏洞僅影響思科 Prime Collaboration Provisioning（PCP）軟件的 11.6 版本。雖然目前沒有解決 PCP 軟件漏洞的確切方法，但思科已經發布了補丁程序，并建議用戶盡快升級到 PCP 12.1 版本，以避免出現安全問題。

影響思科安全訪問控制系統（ACS）的 Java 反序列化漏洞，是由于受影響軟件對用戶提供的內容進行不安全的反序列化造成，可能允許未經身份驗證的遠程攻擊者在受影響設備上執行任意命令。據悉，該漏洞已獲得 9.8 的 CSS 評分 ，被歸為高危漏洞一類。目前思科已經發布了軟件更新來修復這個缺陷。