漏洞描述

Cisco Smart Software Manager On-Prem (SSM On-Prem)基于Web的管理界面存在漏洞,通过该漏洞,经过验证的远程攻击者可在受影响的系统上实施SQL注入攻击。存在此漏洞的原因是基於 Web 的管理介面未充分驗證用戶輸入。攻击者可通过以低权限用户身份验证应用程序并向受影响系统发送伪造的 SQL 查询来利用此漏洞。成功利用漏洞后,攻击者可读取底层数据库中的敏感数据。

更新脚本中的 IP 地址和管理 cookie

python3 exploit.py

POC下载地址

https://lmpan.lmboke.com/CVE-2023-20110-main.zip