思科已发布有关其紧急响应程序软件中的漏洞的安全公告，该漏洞允许未经身份验证的远程攻击者使用 root 帐户登录受影响的设备。

该漏洞被指定为 CVE-2023-20101，其根源在于 root 帐户具有无法更改或删除的默认静态凭据。事实证明，通过隐蔽性实现安全还不够隐蔽。

思科在其公告中解释说：“此漏洞是由于根帐户存在静态用户凭据造成的，这些凭据通常保留在开发过程中使用。” “攻击者可以通过使用该帐户登录受影响的系统来利用此漏洞。”

这样，攻击者就可以从任何地方登录并以 root 用户身份执行任意命令。因此，基本 CVSS 分数为 9.8。

Cisco Emergency Responder 旨在与 Cisco Unified Communications Manager 配合使用，以确保将紧急呼叫路由到适合位置的公共安全应答点 (PSAP)。它支持实时位置跟踪、呼叫路由以及自动通知安全人员呼叫者的位置等。

这不是那种你希望被恶意者接管的系统。

包含硬编码凭据是教科书上的安全缺陷。其常见弱点枚举为CWE-798：使用硬编码凭证 - 需要指定的事实说明了一切。根据安全组织 MITRE 的数据，2023 年，它在 25 个最顽固的漏洞中排名第 18 位。

MITRE 将硬编码凭证的使用归入“由于不良的安全架构或不良的安全设计选择而引入系统的弱点”类别。

至少思科设法“在内部安全测试期间”找到了该漏洞，而不是通过主动利用来了解该漏洞。它表示没有解决方法，并已发布软件补丁来解决该问题。

至少只有一个特定版本的软件受到影响：Cisco Emergency Responder 版本 12.5(1)SU4。12.5 版本于 2019 年 1 月发布。

之前的版本（11.5(1) 及更早版本）不受影响。也不是最新版本，14。®