據(jù)外媒報道，思科小型商業(yè)交換機軟件有一個關(guān)鍵漏洞（CVE-2018-15439），攻擊者可以未經(jīng)身份驗證遠(yuǎn)程控制設(shè)備。

該漏洞的CVSS嚴(yán)重級別為9.8，它與設(shè)備上的特權(quán)用戶賬戶等默認(rèn)配置有關(guān)。特權(quán)用戶帳戶是為初始登錄而創(chuàng)建的，因而無法從思科小型商業(yè)交換機設(shè)備中刪除。

思科發(fā)布的通告中有一個解決方案，即在設(shè)備配置中添加一個具有15級訪問權(quán)限級別的用戶帳戶來禁用特權(quán)帳戶。用戶可以將admin作為用戶ID來配置新帳戶，將訪問權(quán)限設(shè)置為15級，并用一個復(fù)雜密碼替換強密碼。

受影響的思科交換機有：小型商業(yè)200系列智能交換機、250系列智能交換機、300系列托管交換機、350系列托管交換機、思科350X系列可堆疊托管交換機、500系列可堆疊托管交換機和550X系列可堆疊托管交換機。

思科220系列、200E系列智能交換機以及運行思科IOS軟件、思科IOS XE軟件或思科NX-OS軟件的設(shè)備均不受影響。

目前還沒有漏洞補丁，但思科正盡力修復(fù)漏洞。思科產(chǎn)品安全事件響應(yīng)團(tuán)隊（PSIRT）目前沒有發(fā)現(xiàn)有黑客利用該漏洞進(jìn)行攻擊。