思科9.8分漏洞：管理员密码能被陌生人一键重置

去年全球企业花在服务器管理控制器上的安全预算，有相当一部分打了水漂。思科刚刚披露的一个漏洞，让攻击者不用账号就能直接修改你的管理员密码——CVSS评分9.8，距离满分只差0.2。

一个HTTP请求就能接管整台服务器

这个编号CVE-2026-20093的漏洞藏在思科IMC（集成管理控制器）的密码修改功能里。IMC相当于服务器的"后门钥匙"，管理员靠它远程开关机、装系统、看硬件状态，平时藏在机房深处不露面。

问题出在密码重置请求的处理逻辑上。系统没验证请求来源是否合法，直接执行了修改操作。攻击者构造一个特定的HTTP请求发过去，就能绕过所有认证步骤，把任意用户的密码改成自己想要的——包括最高权限的Admin账号。

思科安全公告里的描述很克制："incorrect processing of incoming password change requests"。翻译成人话：服务器太信任陌生人了，谁来都让改密码。

受影响的产品清单拉出来很长。独立运行的UCS C-Series服务器全线中招，5000系列ENCS边缘设备、Catalyst 8300系列交换机也在列。更麻烦的是一堆"套娃"设备——APIC控制器、Catalyst Center、防火墙管理中心、安全分析平台，这些设备底层用的都是UCS C-Series服务器，只要IMC界面暴露在外，同样 vulnerable。

好消息是B系列刀片、X系列模块化系统、C-Series的M7和M8新款不受影响。坏消息是：没有临时缓解方案，打补丁是唯一出路。

升级路径比漏洞本身还折腾

思科给出的修复方案因设备而异，堪称"一机一策"。5000系列ENCS和Catalyst 8300需要先升级底层的NFVIS（企业网络功能虚拟化基础设施软件），IMC补丁才能生效。独立服务器用户相对幸运，可以用HUU（主机升级工具）一键刷入。

这种碎片化的升级体验，是企业IT基础设施年久失修的缩影。同一套IMC软件，在不同产品线上的部署方式、暴露面、依赖关系各不相同，管理员得先搞清楚自己手里是哪一类设备，才能对号入座找补丁。

思科在公告末尾加了一句：目前未发现主动利用证据，也没有公开的恶意利用公告。这句话的潜台词是——漏洞细节已经公开，攻击者正在研究利用代码，窗口期正在关闭。

管理控制器正在成为攻击者的软柿子

IMC、BMC、iLO、iDRAC，这些名字各异的服务器管理控制器，本质都是同一类东西：绕过操作系统的"幽灵管理员"。它们拥有比操作系统更高的权限，却经常被配置在隔离不严格的网络区域，补丁更新也滞后于主系统。

2024年，多起勒索软件攻击的初始入口都是暴露的管理控制器。攻击者不需要破解Windows或Linux的复杂漏洞，直接找这些"后门钥匙"下手，拿到权限后再横向移动。CVE-2026-20093的9.8分评分，反映的正是这类攻击路径的致命性——无需认证、远程利用、直接获取最高权限。

思科将漏洞发现归功于一位未公开姓名的安全研究员。按照行业惯例，这位研究员可能在数月前就向思科提交了报告，经过协调披露流程后，补丁与漏洞详情同时发布。这种"负责任的披露"给了企业修复时间，但也给了攻击者逆向工程的时间。

对于运行受影响设备的团队来说，接下来的48小时很关键。IMC界面通常部署在管理网段，理论上不对外暴露，但"理论上"三个字在安全领域从来不可靠。VPN配置失误、供应链入侵、内网横向移动，都可能让本该隔离的管理接口暴露在攻击者面前。

你现在能确定自己机房里的C-Series服务器，IMC版本是多少吗？