小型企业交换机信息泄露漏洞,紧急升级通知
2月18日,思科发布安全公告,称其小型企业交换机发现信息泄露漏洞,建议尽快升级。以下为漏洞详情:
漏洞详情
来源:
CVE-2019-15993 CVSS评分: 7.5 严重程度: 高
思科小型企业交换机的 Web UI 中的漏洞可能允许未经身份验证的远程攻击者访问敏感设备信息。
造成该漏洞的原因在于对可从 Web UI 访问的信息缺乏正确的身份验证控制。攻击者可通过向受影响设备的 Web UI 发送恶意 HTTP 请求来利用此漏洞。成功利用后,攻击者可能获取包括配置文件在内的设备敏感信息。
受影响产品
如果以下 Cisco 产品运行的固件版本早于 2.5.0.92,则此漏洞会影响它们:
250 SeRies SMaRt SwITches
350 SeRies Managed SwITches
350X SeRies Stackable Managed SwITches
550X SeRies Stackable Managed SwITches
如果以下 Cisco 产品运行的固件版本早于 1.4.11.4,则此漏洞会影响它们:
200 SeRies SMaRt SwITches
300 SeRies Managed SwITches
500 SeRies Stackable Managed SwITches
解决方案
思科已在固件版本 2.5.0.92 中修复以下思科产品的漏洞:
250 SeRies SMaRt SwITches
350 SeRies Managed SwITches
350X SeRies Stackable Managed SwITches
550X SeRies Stackable Managed SwITches
已在固件版本 1.4.11.4 中修复以下思科产品的漏洞:
200 SeRies SMaRt SwITches
300 SeRies Managed SwITches
500 SeRies Stackable Managed SwITches
查看更多漏洞信息以及升级请访问官网:
https://Tools.cisco.coM/security/centeR/publicationlisting.x
