思科ElasticServicesController爆重大漏洞，免密码就能取得管理员权限

思科在官网公告，Elastic Services Controller的3.0.0软件存在严重认证漏洞，骇客不须输入密码，即可进入服务入口页面。使用者应尽速更新软件至3.1.0版本

这个被思科列为危险等级代号CVE-2018-0121的漏洞，发生在思科Elastic Services Controller 3.0.0版本的软件，其提供的服务入口网页让骇客不需认证，即可远端操作任何管理员权限动作。思科解释，这是由于软件所提供的服务入口网页没有适当的安全限制造成。

当服务入口页面弹出要求输入管理员密码时，骇客只要密码栏留空送出，不须任何破解动作，便能轻松取得管理员权限，操作所有管理员能够执行的命令。思科已经释出更新软件3.1.0，要求使用者尽速更新，并强调除此之外没有任何方法可以解决这个问题。

Elastic Services Controller是思科单点管理动态环境中，通用虚拟网络功能（Virtual Network Functions，VNF）生命周期的服务，包括监控虚拟机器与服务，或是自动恢复与自动扩展。