思科19日发布安全补丁，修复其网络和统一通信产品系列中的17个漏洞。

这些补丁修复1个超危漏洞和6个高危漏洞，包括远程访问和代码执行，权限提升，拒绝服务，和跨站请求伪造。

唯一的超危漏洞为CVE-2020-3158，该漏洞源于思科Smart Software Manager工具存在一个使用静态密码的高权限账户。

思科表示，该漏洞是由于某个系统账户使用默认静态密码，且不受系统管理员的控制。攻击者可借助该默认账户利用该漏洞连接到受影响的系统。

由于Smart Software Manager处理的是软件license和密钥，所以该漏洞不会导致大规模泄露敏感的企业数据的风险。但是任何人都不想要一个使用静态密码且无法移除的高权限账户，因此建议管理员尽快更新软件，清除该静态账户。

思科还披露了Unified Contact Center（CVE-2019-1888）和Data Center Network Manager（CVE-2020-3112）中的提权漏洞，以及NFV Infrastructure Software中一个需要本地访问的代码执行漏洞（CVE-2020-3138）。

思科Email Security Appliance中存在两个拒绝服务漏洞（CVE-2019-1947和CVE-2019-1983）。虽然一般认为拒绝服务漏洞不具有较大的风险，但当该类漏洞存在于网络安全设备中，严重程度就上升了。

思科此次还修复了Cloud Web Security中的SQL注入漏洞（CVE-2020-3154）和思科IP Phone中的远程代码执行漏洞（CVE-2020-3111）。

本文源自The Register；转载请注明出处。