近日，國家信息安全漏洞庫（CNNVD）通報了關于Cisco IOS XE Software安全漏洞（CNNVD-202310-1209、CVE-2023-20198）的相關情況。未經身份驗證的遠程攻擊者可以利用該漏洞創建具有最高訪問權限的賬戶，進而控制受影響的系統。啟用了Web UI功能的Cisco IOS XE設備均受該漏洞影響。目前，思科官方暫未發布修補措施，建議用戶盡快確認產品版本，及時關注官方公告。

一、漏洞介紹

Cisco IOS XE Software是美國思科（Cisco）公司的一個用于企業有線和無線訪問，匯聚，核心和WAN的操作系統。Cisco IOS XE Software 存在安全漏洞，未經身份驗證的遠程攻擊者可以利用該漏洞創建具有最高訪問權限的賬戶，進而控制受影響的系統。

二、危害影響

啟用了Web UI功能的Cisco IOS XE設備均受該漏洞影響。

三、修復建議

目前，思科官方暫未發布修補措施，建議用戶盡快確認產品版本，及時關注官方公告。官方公告如下：

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

本次通報由CNNVD技術支撐單位——南京禾盾信息科技有限公司、奇安信網神信息技術（北京）股份有限公司、深圳融安網絡科技有限公司、北京神州綠盟科技有限公司、北京安天網絡安全技術有限公司、北京奇虎科技有限公司、杭州海康威視數字技術股份有限公司、湖北肆安科技有限公司等提供支持。

CNNVD將繼續跟蹤上述漏洞的相關情況，及時發布相關信息。如有需要，可與CNNVD聯系。