近日，全漏国家信息安全漏洞库（CNNVD）通报了关于Cisco IOS XE Software安全漏洞（CNNVD-202310-1209、洞情CVE-2023-20198）的全漏相关情况 。未经身份验证的洞情远程攻击者可以利用该漏洞创建具有最高访问权限的账户 ，进而控制受影响的全漏系统。服务器租用启用了Web UI功能的洞情Cisco IOS XE设备均受该漏洞影响。目前 ，全漏思科官方暂未发布修补措施 ，洞情建议用户尽快确认产品版本 ，全漏及时关注官方公告。洞情

一、全漏漏洞介绍

Cisco IOS XE Software是香港云服务器洞情美国思科（Cisco）公司的一个用于企业有线和无线访问，汇聚 ，全漏核心和WAN的洞情操作系统。Cisco IOS XE Software 存在安全漏洞，全漏未经身份验证的远程攻击者可以利用该漏洞创建具有最高访问权限的模板下载账户 ，进而控制受影响的系统 。

二、危害影响

启用了Web UI功能的Cisco IOS XE设备均受该漏洞影响  。

三、修复建议

目前，源码库思科官方暂未发布修补措施，建议用户尽快确认产品版本，及时关注官方公告。官方公告如下：

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

本次通报由CNNVD技术支撑单位——南京禾盾信息科技有限公司、奇安信网神信息技术（北京）股份有限公司、深圳融安网络科技有限公司、北京神州绿盟科技有限公司 、北京安天网络安全技术有限公司、亿华云北京奇虎科技有限公司、杭州海康威视数字技术股份有限公司、湖北肆安科技有限公司等提供支持。

CNNVD将继续跟踪上述漏洞的相关情况 ，及时发布相关信息。如有需要，可与CNNVD联系。高防服务器