查看原文
其他

思科精睿系列交换机被曝高危漏洞,仅修复部分产品

代码卫士 2022-05-21
 聚焦源代码安全,网罗国内外最新资讯!
作者:Lindsey O'Donnell
编译:奇安信代码卫士团队
思科 Systems 警告称,超过六款精睿系列交换机受一个高危漏洞影响,可导致远程未认证攻击者以管理员权限访问交换机的管理接口。


受影响的具体产品是 Series Smart Switches、Series Managed Switches 和 Series Stackable ManagedSwitches。思科表示未发现漏洞遭利用的迹象,并已为其中某些受影响的交换机发布软件更新,而其它一些产品因已达生命周期,因此将无法收到补丁。

该缺陷的编号是 CVE-2020-3297,CVSS 评分是8.1分,是由使用弱熵生成的会话标识符值造成的。

思科在安全公告中指出,“攻击者可利用该漏洞,通过暴力攻击确定当前的会话标识符并复用该会话标识符接管正在进行的会话。”如此,攻击者就能攻破设备的认证保护措施并获得遭劫持会话账户的权限。如该受害者是管理员用户,则攻击者能获取设备的管理员权限。

具体受影响的产品是 Cisco 250 Series SmartSwitches、350 Series Managed Switches、350X Series StackableManaged Switches、550X Series Stackable Managed Switches、Small Business 200 SeriesSmart Switches、Small Business 300 Series Managed Switches 和Small Business 500 SeriesStackable Managed Switches。

思科已发布固件版本2.5.5.47中修复该漏洞。上述前四款产品将收到软件更新,而由于后四款产品已过软件维护周期,“虽然易受攻击”,但不会收到固件修复方案。

周三,思科还发布补丁,修复多个中危缺陷,影响的产品包括精睿 RV042 和 RV-042G 路由器、Digital NetworkArchitecture Center、身份服务引擎、Unified Customer Voice Portal、Unified Communications 产品和AnyConnect SecurityMobility Client。

6月早些时候,思科还修复了 Webex 网络会议应用中的三个高危漏洞,其中一个可导致未认证攻击者在受影响系统上远程执行代码。


推荐阅读

思科警告:Nexus 交换机受严重缺陷影响

思科警告:IOS 路由器中含有多个严重缺陷,可导致“系统完全受陷”



原文链接

https://threatpost.com/cisco-warns-high-severity-bug-small-business-switch/157090/



题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。


奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    点个 “在看” ,加油鸭~


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存