安基网 首页 资讯 安全报 查看内容

思科智能网络交换器爆重大漏洞,可让黑客执行指令攻击、接管系统

2019-8-9 13:41| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 思科本周针对智能网络交换器系列Cisco Small Business 220 Series发出安全公告,并修补3项可让黑客执行指令攻击、执行恶意代码及接管系统的漏洞。这3项漏洞分别为CVE-2019-1912、CVE-2019-1913及CVE-2019-1914,皆出 ...

思科本周针对智能网络交换器系列Cisco Small Business 220 Series发出安全公告,并修补3项可让黑客执行指令攻击、执行恶意代码及接管系统的漏洞。

这3项漏洞分别为CVE-2019-1912、CVE-2019-1913及CVE-2019-1914,皆出在产品系统的Web管理界面。其中CVE-2019-1912是界面对外部呼叫流量检查不完全造成的验证绕过(authentication bypass)漏洞。黑客可经由HTTP或HTTPS传送恶意呼叫开采本漏洞,使未获授权的远端攻击者得以上传任意档案、修改产品设定,或注入反向Shell指令。CVE-2019-1914为指令注入攻击漏洞,出在Web管理界面对用户输入指令验证不足。攻击者可经由HTTP或HTTPS传送恶意呼叫,成功开采者可以根(root)使用者权限执行任意shell指令。

CVE-2019-1913则是一项远端代码执行漏洞。它起于Web管理界面对用户输入指令验证不足,以及程序未做好边界检查(boundary checks),使未授权的远端用户得以进行缓冲区溢位攻击,并取得作业系统根权限来执行任意代码。这表示黑客可从网际网络接管系统。

根据CVSS Base Score,CVE-2019-1914因攻击者必须具备level 15的登入权限,属于中度风险漏洞。但CVE-2019-1912及CVE-2019-1913各以9.1及9.8的风险评分,被列为重大风险漏洞。

受3项漏洞影响的产品为1.1.4.4版本以前的Cisco 220 Series Smart Switches系统。思科也发布更新版本,呼吁用户尽速升级。

资料来源:iThome Security



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6722811101630693900/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部