咱们先聊聊这事,思科的Catalyst9300系列交换机出了个大新闻。就在3月25日那天,思科给了个提示,说是这系列交换机里有四个安全漏洞,特别是其中的两个要是联着用,能让人把网络搞瘫痪。消息是来自一家叫Opswat的公司。他们说,只要把CVE-2026-20114和CVE-2026-20110这两个漏洞串在一起使,哪怕你只有低权限账户,也能把自己变成能把整个网络给断了的那种人。 这Catalyst9300原本是为了让企业的网络跑得稳才设计的,可没想到还藏着一个大风险。研究人员发现,CatalystWebUI大厅里的访客账户有个命令注入漏洞(CVE-2026-20114),坏蛋可以通过这招来弄个权限更高的MAC地址账户。接着他们再利用第二个漏洞(CVE-2026-20110),因为输入验证这关没守好,最终就能把交换机关进维护模式,导致数据没法传了。 这东西要是被攻击了,Opswat特意拍了个视频证明。他们表示,在不拿管理员密码的前提下,通过这一连串动作就可以搞破坏。除了这俩漏洞外,Opswat还找到了另外两个:一个是CVE-2026-20112,和跨站脚本攻击有关;另一个是CVE-2026-20113,涉及CRLF注入。这些漏洞都跟IOS XE IOx的集成环境有关系,可能让黑客伪造日志记录,把坏事藏得严严实实。 对管网络的人来说,赶紧动手加固才是正经事。Opswat建议赶紧把3月25日发布的补丁装上去,同时给用大厅访客功能的人加上两步验证。虽然这几个漏洞的CVSS分数看起来不算太高(大概在4.8到6.5分之间),但因为能连在一起用,危害就大了去了。思科在那份半年报里也说了实话:这四个CVE都修好了,叫大家赶紧更新设备防着点。 上个月思科还公开了另一批漏洞(CVE-2026-20122、CVE-2026-20126、CVE-2026-20128),这回是影响Catalyst SD-WAN管理器的。这些漏洞也能让人直接升到root权限去搞破坏。看来思科产品在安全性这块儿确实得下功夫了。 现在大家对网络安全越来越看重了,企业得重视起来。赶紧更新系统软件才是正道啊!