首页 > 安全研究 > 安全通报 > 安全通告

思科220系列智能交换机多个安全漏洞安全通告

发布时间 2019-08-08

• 漏洞编号和级别


CVE编号:CVE-2019-1914,危险级别:高危,CVSS分值:厂商自评:7.2,官方未评定
CVE编号:CVE-2019-1912,危险级别:严重,CVSS分值:厂商自评:9.1,官方未评定
CVE编号:CVE-2019-1913,危险级别:严重,CVSS分值:厂商自评:9.8,官方未评定


• 影响版本


受影响的版本


适用于Cisco Small Business 220 Series Smart Switches 固件版本 < 1.1.4.4。


• 漏洞概述


Cisco Small Business 220 Series Smart Switches是美国思科(Cisco)公司的一款小型智能交换机设备。


CVE-2019-1914

思科(Cisco Small Business)220系列智能交换机的Web管理界面中存在命令注入漏洞,该漏洞源于程序没有充分验证用户提交的输入。远程攻击者可通过发送恶意的HTTP或HTTPS请求利用该漏洞以root用户权限执行任意的shell命令。


CVE-2019-1912

思科(Cisco Small Business)220系列智能交换机的Web管理界面中存在认证绕过漏洞,该漏洞源于不完全的权限检查。攻击者利用该漏洞可以在未经身份验证的情况下上传任意文件。


CVE-2019-1913

思科(Cisco Small Business)220系列智能交换机的Web管理界面中存在缓冲区错误漏洞,该漏洞源于程序没有充分地验证用户提交的数据并且没有进行正确的边界检查。远程攻击者可通过发送恶意的请求利用该漏洞在底层操作系统上以root权限执行任意代码。


• 漏洞验证


暂无POC/EXP。


• 修复建议


思科已经发布了最新的固件版本,受影响的用户应及时升级进行防护:


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-inject

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-auth_bypass

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-rce


• 参考链接


https://tools.cisco.com/security/center/publicationListing.x

上一篇 下一篇