首頁 > 安全研究 > 安全通報 > 安全通告

思科220系列智能交換機多個安全漏洞安全通告

發布時間 2019-08-08

? 漏洞編號和級別


CVE編號:CVE-2019-1914,危險級別:高危,CVSS分值:廠商自評:7.2,官方未評定
CVE編號:CVE-2019-1912,危險級別:嚴重,CVSS分值:廠商自評:9.1,官方未評定
CVE編號:CVE-2019-1913,危險級別:嚴重,CVSS分值:廠商自評:9.8,官方未評定


影響版本


受影響的版本


適用于Cisco Small Business 220 Series Smart Switches 固件版本 < 1.1.4.4。


漏洞概述


Cisco Small Business 220 Series Smart Switches是美國思科(Cisco)公司的一款小型智能交換機設備。


CVE-2019-1914

思科(Cisco Small Business)220系列智能交換機的Web管理界面中存在命令注入漏洞,該漏洞源于程序沒有充分驗證用戶提交的輸入。遠程攻擊者可通過發送惡意的HTTP或HTTPS請求利用該漏洞以root用戶權限執行任意的shell命令。


CVE-2019-1912

思科(Cisco Small Business)220系列智能交換機的Web管理界面中存在認證繞過漏洞,該漏洞源于不完全的權限檢查。攻擊者利用該漏洞可以在未經身份驗證的情況下上傳任意文件。


CVE-2019-1913

思科(Cisco Small Business)220系列智能交換機的Web管理界面中存在緩沖區錯誤漏洞,該漏洞源于程序沒有充分地驗證用戶提交的數據并且沒有進行正確的邊界檢查。遠程攻擊者可通過發送惡意的請求利用該漏洞在底層操作系統上以root權限執行任意代碼。


漏洞驗證


暫無POC/EXP。


修復建議


思科已經發布了最新的固件版本,受影響的用戶應及時升級進行防護:


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-inject

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-auth_bypass

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-rce


參考鏈接


https://tools.cisco.com/security/center/publicationListing.x

上一篇 下一篇