关于Cisco IOS XE Web UI权限提升漏洞的风险提醒

一、漏洞详情

漏洞编号：CVE-2023-20198

披漏时间：2023年10月15日

漏洞描述：该漏洞允许未经身份验证的远程攻击者在受影响的系统上建立具有15级访问权限的帐户，然后攻击者可以使用该帐户来控制受影响的系统。Cisco IOS XE系统上的权限等级15基本上意味着可以完全访问所有指令，包括重新加载系统和进行配置更改的指令。该漏洞影响所有启用Web UI功能的Cisco IOS XE设备。

二、影响版本

Cisco IOS XE软件版本系列（启用了Web UI功能）：17.9、17.6、17.3、16.12（仅限Catalyst 3650和3850）

三、漏洞处置建议

用户尽快排查所有软件系统版本是否为17.9、17.6、17.3、16.12（仅限Catalyst 3650和3850）若存在应用使用，极大可能会受到影响。当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：https://www.cisco.com/c/en/us/support/index.html