华盟君引言“思科发布了安全更新，以解决思科小型企业220系列智能交换机的几个漏洞。”

思科发布了安全更新，以解决思科小型企业220系列智能交换机的几个漏洞，包括两个关键问题。

最重要的漏洞是CVE-2019-1913，它可以被未经身份验证的远程攻击者利用，以root特权执行任意代码。

CVE-2019-1913代码用于识别智能交换机web管理界面中的几个缺陷。CVE-2019-1913的CVSS得分为9.8分。

“思科小型企业220系列智能交换机的web管理界面存在多个漏洞，可能会导致未经身份验证的远程攻击者溢出缓冲区，从而允许在底层操作系统上执行具有根权限的任意代码。”思科发布的这份建议写道。

“这些漏洞是由于用户提供的输入验证不足和将数据读入内部缓冲区时边界检查不当造成的。攻击者可以通过向受影响设备的web管理界面发送恶意请求来利用这些漏洞，”

攻击者可以利用这些缺陷，根据设备的配置，通过HTTP或HTTPS向交换机发送特殊设计的请求。

第二个关键缺陷是CVE-2019-1912，影响思科小型企业220系列智能交换机。

该漏洞的CVSS评分为9.1，未经身份验证的远程攻击者可以利用该漏洞上传任意文件。

此问题是由于web管理接口中的授权检查不完整造成的。攻击者可以通过向web管理界面的某些部分发送一个特别设计的请求来利用这个漏洞。利用这一漏洞，攻击者可以修改易受攻击开关的配置，或注入反向shell。

“思科小型企业220系列智能交换机的网络管理界面存在漏洞，未经认证的远程攻击者可以上传任意文件。该建议写道。

该漏洞是由于web管理界面中的授权检查不完整造成的。攻击者可以通过向web管理界面的某些部分发送恶意请求来利用此漏洞。根据受影响交换机的配置，恶意请求必须通过HTTP或HTTPS发送。"

思科还解决了思科小型企业220系列智能交换机的一个中度严重缺陷，该缺陷被称为CVE-2019-1914。该漏洞的CVSS得分为7.2，可以被经过身份验证的远程攻击者利用来执行命令注入。

“该漏洞是由于用户提供的输入验证不足造成的。攻击者可以通过向web管理界面的某些部分发送恶意请求来利用此漏洞。要发送恶意请求，攻击者需要在web管理界面中作为特权级别15的用户使用一个有效的登录会话。该建议写道。根据受影响交换机的配置，恶意请求必须通过HTTP或HTTPS发送。成功的攻击可以允许攻击者使用根用户的特权执行任意shell命令。"

漏洞影响思科小型企业220系列智能交换机运行固件版本之前的1.1.4.4，与web管理界面启用。

思科证实，它没有发现任何利用这些漏洞的攻击。

外媒报道地址：

https://securityaffairs.co/wordpress/89593/hacking/cisco-small-business-220-flaws.html