这3项漏洞分别为CVE-2019-1912、CVE-2019-1913及CVE-2019-1914,皆出在产品系统的Web管理界面。其中CVE-2019-1912是界面对外部呼叫流量检查不完全造成的验证绕过(authentication bypass)漏洞。黑客可经由HTTP或HTTPS传送恶意呼叫开采本漏洞,使未获授权的远端攻击者得以上传任意档案、修改产品设定,或注入反向Shell指令。CVE-2019-1914为指令注入攻击漏洞,出在Web管理界面对用户输入指令验证不足。攻击者可经由HTTP或HTTPS传送恶意呼叫,成功开采者可以根(root)使用者权限执行任意shell指令。
CVE-2019-1913则是一项远端代码执行漏洞。它起于Web管理界面对用户输入指令验证不足,以及程序未做好边界检查(boundary checks),使未授权的远端用户得以进行缓冲区溢位攻击,并取得作业系统根权限来执行任意代码。这表示黑客可从网际网络接管系统。
根据CVSS Base Score,CVE-2019-1914因攻击者必须具备level 15的登入权限,属于中度风险漏洞。但CVE-2019-1912及CVE-2019-1913各以9.1及9.8的风险评分,被列为重大风险漏洞。
受3项漏洞影响的产品为1.1.4.4版本以前的Cisco 220 Series Smart Switches系统。思科也发布更新版本,呼吁用户尽速升级。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理
