综述

当地时间8月6日，思科官方发布了关于Small Business 220系列智能交换机（Small Business 220 Series Smart Switches）的3个漏洞修复通告，其中包含2个高危漏洞，最高CVSS 3.0评分9.8。

相关链接：

https://tools.cisco.com/security/center/publicationListing.x

漏洞概述

• 命令注入漏洞 CVE-2019-1914

CVSS 3.0评分：7.2

思科（Cisco Small Business）220系列智能交换机的Web管理界面中存在一个漏洞，经过身份验证的远程攻击者可以利用该漏洞执行命令注入攻击。

详情参考官方通告：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-inject

• 认证绕过漏洞 CVE-2019-1912

CVSS 3.0评分: 9.1

思科（Cisco Small Business）220系列智能交换机的Web管理界面中存在一个漏洞，攻击者利用该漏洞可以在未经身份验证的情况下上传任意文件。

详情参考官方通告：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-auth_bypass

• 远程代码执行漏洞 CVE-2019-1913

CVSS 3.0评分: 9.8

思科（Cisco Small Business）220系列智能交换机的Web管理界面中存在多个漏洞，未经身份验证的攻击者可以通过触发缓冲区溢出在底层的操作系统中以root权限执行任意代码。

详情参考官方通告：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-rce

受影响的版本

• Cisco Small Business 220 Series Smart Switches 固件版本 < 1.1.4.4

不受影响的版本

• Cisco Small Business 220 Series Smart Switches 固件版本 >= 1.1.4.4

解决方案

对于上述漏洞，思科已经发布了最新的固件版本进行了修复，受影响的用户应及时升级进行防护。

相关链接：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-inject

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-auth_bypass

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-rce