思科产品中存在硬编码密码和 Java 反序列化高危漏洞

外媒 3 月 8 日消息，思科最近发布的一组安全更新中包括两个重要漏洞的修复方案 — 硬编码密码漏洞（CVE-2018-0141）和 Java 反序列化漏洞（CVE-2018-0147）。

硬编码密码漏洞（CVE-2018-0141）是由于系统上的硬编码帐户密码造成的，可被本地攻击者利用来获得对易受攻击设备的完全控制权。目前该漏洞仅影响思科 Prime Collaboration Provisioning（PCP）软件的 11.6 版本。虽然目前没有解决 PCP 软件漏洞的确切方法，但思科已经发布了补丁程序，并建议用户尽快升级到 PCP 12.1 版本，以避免出现安全问题。

影响思科安全访问控制系统（ACS）的 Java 反序列化漏洞，是由于受影响软件对用户提供的内容进行不安全的反序列化造成，可能允许未经身份验证的远程攻击者在受影响设备上执行任意命令。据悉，该漏洞已获得 9.8 的 CSS 评分 ，被归为高危漏洞一类。目前思科已经发布了软件更新来修复这个缺陷。